第一篇:現(xiàn)代網(wǎng)絡(luò)安全及防火墻畢業(yè)論文
摘要
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性,網(wǎng)絡(luò)信息的安全性變得日益重要起來,已被信息社會的各個領(lǐng)域所重視。本文對目前計(jì)算機(jī)網(wǎng)絡(luò)存在的安全隱患進(jìn)行了分析,闡述了我國網(wǎng)絡(luò)安全的現(xiàn)狀及網(wǎng)絡(luò)安全問題產(chǎn)生的原因,對我們網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行了系統(tǒng)的分析,并探討了針對計(jì)算機(jī)安全隱患的防范策略.正是因?yàn)榘踩{的無處不在,為了解決這個問題防火墻出現(xiàn)了。防火墻是網(wǎng)絡(luò)安全的關(guān)鍵技術(shù),是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng),其核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境,防火墻是實(shí)施網(wǎng)絡(luò)安全控制得一種必要技術(shù)。本文討論了防火墻的安全功能、體系結(jié)構(gòu)、實(shí)現(xiàn)防火墻的主要技術(shù)手段及配置等。
關(guān)鍵詞
網(wǎng)絡(luò)安全/黑客/病毒/防火墻
0 我國網(wǎng)絡(luò)安全現(xiàn)狀...........................................................................................................2 1.1研究背景..................................................................................................................2 1.2研究意義..................................................................................................................3 1.3 計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅.........................................................................................4 2 防火墻的安全功能及安全網(wǎng)絡(luò)方案...............................................................................7 2.1防火墻具備的安全功能..........................................................................................7 2.2 計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅網(wǎng)絡(luò)安全的解決方案 2.2.1入侵檢測系統(tǒng)部署..........7 3 計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)并實(shí)現(xiàn)................................................................................10 3.1桌面安全系統(tǒng)........................................................................................................10 3.2病毒防護(hù)系統(tǒng)......................................................................................................10 3.3 動態(tài)口令系統(tǒng)........................................................................................................11 4 防火墻的配置.................................................................................................................13 4.1防火墻的初始配置................................................................................................13 4.2 過濾防火墻的訪問配置.......................................................................................15 4.3雙宿主機(jī)網(wǎng)關(guān)(Dual Homed Gateway)................................................................19 4.4屏蔽主機(jī)網(wǎng)關(guān)(Screened Host Gateway).............................................................19 4.5屏蔽子網(wǎng)(Screened Subnet).................................................................................20 總
結(jié)................................................................................................................................22 致
謝................................................................................................................................23 參考文獻(xiàn).............................................................................................................................24 我國網(wǎng)絡(luò)安全現(xiàn)狀
1.1研究背景
據(jù)美國聯(lián)邦調(diào)查局統(tǒng)計(jì),美國每年因網(wǎng)絡(luò)安全造成的損失高達(dá)75億美元。據(jù)美國金融時報報道,世界上平均每20分鐘就發(fā)生一次人侵國際互聯(lián)網(wǎng)絡(luò)的計(jì)算機(jī)安全事件,1/3的防火墻被突破。美國聯(lián)邦調(diào)查局計(jì)算機(jī)犯罪組負(fù)責(zé)人吉姆·塞特爾稱:給我精選10名“黑客”,組成小組,90天內(nèi),我將使美國趴下。一位計(jì)算機(jī)專家毫不夸張地說:如果給我一臺普通計(jì)算機(jī)、一條電話線和一個調(diào)制解調(diào)器,就可以令某個地區(qū)的網(wǎng)絡(luò)運(yùn)行失常。
據(jù)了解,從1997年底至今,我國的政府部門、證券公司、銀行等機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)相繼遭到多次攻擊。公安機(jī)關(guān)受理各類信息網(wǎng)絡(luò)違法犯罪案件逐年劇增,尤其以電子郵件、特洛伊木馬、文件共享等為傳播途徑的混合型病毒愈演愈烈。由于我國大量的網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)應(yīng)用依賴于外國的產(chǎn)品和技術(shù),在電子政務(wù)、電子商務(wù)和各行業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用尚處于發(fā)展階段,以上這些領(lǐng)域的大型計(jì)算機(jī)網(wǎng)絡(luò)工程都由國內(nèi)一些較大的系統(tǒng)集成商負(fù)責(zé)。有些集成商仍缺乏足夠?qū)I(yè)的安全支撐技術(shù)力量,同時一些負(fù)責(zé)網(wǎng)絡(luò)安全的工程技術(shù)人員對許多潛在風(fēng)險認(rèn)識不足。缺乏必要的技術(shù)設(shè)施和相關(guān)處理經(jīng)驗(yàn),面對形勢日益嚴(yán)峻的現(xiàn)狀,很多時候都顯得有些力不從心。也正是由于受技術(shù)條件的限制,很多人對網(wǎng)絡(luò)安全的意識僅停留在如何防范病毒階段,對網(wǎng)絡(luò)安全缺乏整體意識。
隨著網(wǎng)絡(luò)的逐步普及,網(wǎng)絡(luò)安全的問題已經(jīng)日益突。如同其它任何社會一樣,互連網(wǎng)也受到某些無聊之人的困擾,某些人喜愛在網(wǎng)上做這類的事,像在現(xiàn)實(shí)中向其他人的墻上噴染涂鴉、將他人的郵箱推倒或者坐在大街上按汽車?yán)纫粯印>W(wǎng)絡(luò)安全已成為互連網(wǎng)上事實(shí)上的焦點(diǎn)問題。它關(guān)系到互連網(wǎng)的進(jìn)一步發(fā)展和普及,甚至關(guān)系著互連網(wǎng)的生存。近年來,無論在發(fā)達(dá)國家,還是在發(fā)展中國家,黑客活動越來越猖狂,他們無孔不入,對社會造成了嚴(yán)重的危害。目前在互連網(wǎng)上大約有將近80%以上的用戶曾經(jīng)遭受過黑客的困擾。而與此同時,更讓人不安的是,互連網(wǎng)上病毒和黑客的聯(lián)姻、不斷增多的黑客網(wǎng)站,使學(xué)習(xí)黑客技術(shù)、獲得黑客攻擊工具變的輕而易舉。這樣,使原本就十分脆弱的互連網(wǎng)越發(fā)顯得不安全。
1.2研究意義
現(xiàn)在網(wǎng)絡(luò)的觀念已經(jīng)深入人心,越來越多的人們通過網(wǎng)絡(luò)來了解世界,同時他們也可以通過網(wǎng)絡(luò)發(fā)布消息,與朋友進(jìn)行交流和溝通,展示自己,以及開展電子商務(wù)等等。人們的日常生活也越來越依靠網(wǎng)絡(luò)進(jìn)行。同時網(wǎng)絡(luò)攻擊也愈演愈烈,時刻威脅著用戶上網(wǎng)安全,網(wǎng)絡(luò)與信息安全已經(jīng)成為當(dāng)今社會關(guān)注的重要問題之一。黨的十六屆四中全會,把信息安全和政治安全、經(jīng)濟(jì)安全、文化安全并列為國家安全的四大范疇之一,信息安全的重要性被提升到一個空前的戰(zhàn)略高度。正是因?yàn)榘踩{的無處不在,為了解決這個問題防火墻出現(xiàn)了。防火墻的本義原是指古代人們房屋之間修建的那道為防止火災(zāi)蔓延而建立的墻,而現(xiàn)在意義上的防火墻是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng),是這一類防范措施的總稱。應(yīng)該說,在互連網(wǎng)上防火墻是一種非常有效的網(wǎng)絡(luò)安全模型,通過它可以隔離風(fēng)險區(qū)域(即Internet或有一定風(fēng)險的網(wǎng)絡(luò))與安全區(qū)域(局域網(wǎng))的連接,同時不會妨礙人們對風(fēng)險區(qū)域的訪問。成而有效的控制用戶的上網(wǎng)安全。防火墻是實(shí)施網(wǎng)絡(luò)安全控制得一種必要技術(shù),它是一個或一組系統(tǒng)組成,它在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略。實(shí)現(xiàn)它的實(shí)際方式各不相同,但是在原則上,防火墻可以被認(rèn)為是這樣同一種機(jī)制:攔阻不安全的傳輸流,允許安全的傳輸流通過。特定應(yīng)用程序行為控制等獨(dú)特的自我保護(hù)機(jī)制使它可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信信息,僅讓安全的、核準(zhǔn)了的信息進(jìn)入;它可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò),過濾掉不安全服務(wù)和非法用戶;它可以封鎖特洛伊木馬,防止機(jī)密數(shù)據(jù)的外泄;它可以限定用戶訪問特殊站點(diǎn),禁止用戶對某些內(nèi)容不健康站點(diǎn)的訪問;它還可以為監(jiān)視互聯(lián)網(wǎng)的安全提供方便。現(xiàn)在國外的優(yōu)秀防火墻如Outpost不但能完成以上介紹的基本功能,還能對獨(dú)特的私人信息保護(hù)如防止密碼泄露、對內(nèi)容進(jìn)行管理以防止小孩子或員工查看不合適的網(wǎng)頁內(nèi)容,允許按特定關(guān)鍵字以及特定網(wǎng)地進(jìn)行過濾等、同時還能對DNS 緩存進(jìn)行保護(hù)、對Web 頁面的交互元素進(jìn)行控制如過濾不需要的GIF,F(xiàn)lash動畫等界面元素。隨著時代的發(fā)展和科技的進(jìn)步防火墻功能日益完善和強(qiáng)大,但面對日益增多的網(wǎng)絡(luò)安全威脅防火墻仍不是完整的解決方案。但不管如何變化防火墻仍然是網(wǎng)絡(luò)安全必不可少的工具之一。
1.3 計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅
1.3.1 網(wǎng)絡(luò)安全脆弱的原因
(1)Internet所用底層TCP/IP網(wǎng)絡(luò)協(xié)議本身易受到攻擊,該協(xié)議本身的安全問題極大地影響到上層應(yīng)用的安全。
(2)Internet上廣為傳插的易用黑客和解密工具使很多網(wǎng)絡(luò)用戶輕易地獲得了攻擊網(wǎng)絡(luò)的方法和手段。
(3)快速的軟件升級周期,會造成問題軟件的出現(xiàn),經(jīng)常會出現(xiàn)操作系統(tǒng)和應(yīng)用程序存在新的攻擊漏洞。
(4)現(xiàn)行法規(guī)政策和管理方面存在不足。目前我國針對計(jì)算機(jī)及網(wǎng)絡(luò)信息保護(hù)的條款不細(xì)致,網(wǎng)上保密的法規(guī)制度可操作性不強(qiáng),執(zhí)行不力。同時,不少單位沒有從管理制度、人員和技術(shù)上建立相應(yīng)的安全防范機(jī)制。缺乏行之有效的安全檢查保護(hù)措施,甚至有一些網(wǎng)絡(luò)管理員利用職務(wù)之便從事網(wǎng)上違法行為。
1.3.1網(wǎng)絡(luò)安全面臨的威脅
信息安全是一個非常關(guān)鍵而又復(fù)雜的問題。計(jì)算機(jī)信息系統(tǒng)安全指計(jì)算機(jī)信息系統(tǒng)資產(chǎn)(包括網(wǎng)絡(luò))的安全,即計(jì)算機(jī)信息系統(tǒng)資源(硬件、軟件和信息)不受自然和人為有害因素的威脅和危害。
計(jì)算機(jī)信息系統(tǒng)之所以存在著脆弱性,主要是由于技術(shù)本身存在著安全弱點(diǎn)、系統(tǒng)的安全性差、缺乏安全性實(shí)踐等;計(jì)算機(jī)信息系統(tǒng)受到的威脅和攻擊除自然災(zāi)害外,主要來自計(jì)算機(jī)犯罪、計(jì)算機(jī)病毒、黑客攻擊、信息戰(zhàn)爭和計(jì)算機(jī)系統(tǒng)故障等。由于計(jì)算機(jī)信息系統(tǒng)已經(jīng)成為信息社會另一種形式的“金庫”和“保密室”,因而,成為一些人窺視的目標(biāo)。再者,由于計(jì)算機(jī)信息系統(tǒng)自身所固有的脆弱性,使計(jì)算機(jī)信息系統(tǒng)面臨威脅和攻擊的考驗(yàn)。計(jì)算機(jī)信息系統(tǒng)的安全威脅主要來自于以下幾個方面:
(1)自然災(zāi)害。計(jì)算機(jī)信息系統(tǒng)僅僅是一個智能的機(jī)器,易受自然災(zāi)害及環(huán)境(溫度、濕度、振動、沖擊、污染)的影響。目前,我們不少計(jì)算機(jī)房并沒有防震、防火、防水、避雷、防電磁泄漏或干擾等措施,接地系統(tǒng)也疏于周到考慮,抵御自然災(zāi)害和意外事故的能力較差。日常工作中因斷電而設(shè)備損壞、數(shù)據(jù)丟失的現(xiàn)象時有發(fā)生。由于噪音和電磁輻射,導(dǎo)致網(wǎng)絡(luò)信噪比下降,誤碼率增加,信息的安全性、完整性和可用
性受到威脅。
(2)黑客的威脅和攻擊。計(jì)算機(jī)信息網(wǎng)絡(luò)上的黑客攻擊事件越演越烈,已經(jīng)成為具有一定經(jīng)濟(jì)條件和技術(shù)專長的形形色色攻擊者活動的舞臺。他們具有計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)脆弱性的知識,能使用各種計(jì)算機(jī)工具。境內(nèi)外黑客攻擊破壞網(wǎng)絡(luò)的問題十分嚴(yán)重,他們通常采用非法侵人重要信息系統(tǒng),竊聽、獲取、攻擊侵人網(wǎng)的有關(guān)敏感性重要信息,修改和破壞信息網(wǎng)絡(luò)的正常使用狀態(tài),造成數(shù)據(jù)丟失或系統(tǒng)癱瘓,給國家造成重大政治影響和經(jīng)濟(jì)損失。黑客問題的出現(xiàn),并非黑客能夠制造入侵的機(jī)會,從沒有路的地方走出一條路,只是他們善于發(fā)現(xiàn)漏洞。即信息網(wǎng)絡(luò)本身的不完善性和缺陷,成為被攻擊的目標(biāo)或利用為攻擊的途徑,其信息網(wǎng)絡(luò)脆弱性引發(fā)了信息社會脆弱性和安全問題,并構(gòu)成了自然或人為破壞的威脅。
(3)計(jì)算機(jī)病毒。90年代,出現(xiàn)了曾引起世界性恐慌的“計(jì)算機(jī)病毒”,其蔓延范圍廣,增長速度驚人,損失難以估計(jì)。它像灰色的幽靈將自己附在其他程序上,在這些程序運(yùn)行時進(jìn)人到系統(tǒng)中進(jìn)行擴(kuò)散。計(jì)算機(jī)感染上病毒后,輕則使系統(tǒng)上作效率下降,重則造成系統(tǒng)死機(jī)或毀壞,使部分文件或全部數(shù)據(jù)丟失,甚至造成計(jì)算機(jī)主板等部件的損壞。
(4)垃圾郵件和間諜軟件。一些人利用電子郵件地址的“公開性”和系統(tǒng)的“可廣播性”進(jìn)行商業(yè)、宗教、政治等活動,把自己的電子郵件強(qiáng)行“推入”別人的電子郵箱,強(qiáng)迫他人接受垃圾郵件。與計(jì)算機(jī)病毒不同,間諜軟件的主要目的不在于對系統(tǒng)造成破壞,而是竊取系統(tǒng)或是用戶信息。事實(shí)上,間諜軟件日前還是一個具有爭議的概念,一種被普遍接受的觀點(diǎn)認(rèn)為間諜軟件是指那些在用戶小知情的情況下進(jìn)行非法安裝發(fā)裝后很難找到其蹤影,并悄悄把截獲的一些機(jī)密信息提供給第下者的軟件。間諜軟件的功能繁多,它可以監(jiān)視用戶行為,或是發(fā)布廣告,修改系統(tǒng)設(shè)置,威脅用戶隱私和計(jì)算機(jī)安全,并可能小同程度的影響系統(tǒng)性能。
(5)信息戰(zhàn)的嚴(yán)重威脅。信息戰(zhàn),即為了國家的軍事戰(zhàn)略而采取行動,取得信息優(yōu)勢,干擾敵方的信息和信息系統(tǒng),同時保衛(wèi)自己的信息和信息系統(tǒng)。這種對抗形式的目標(biāo),不是集中打擊敵方的人員或戰(zhàn)斗技術(shù)裝備,而是集中打擊敵方的計(jì)算機(jī)信息系統(tǒng),使其神經(jīng)中樞的指揮系統(tǒng)癱瘓。信息技術(shù)從根本上改變了進(jìn)行戰(zhàn)爭的方法,其攻擊的首要目標(biāo)主要是連接國家政治、軍事、經(jīng)濟(jì)和整個社會的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng),信息武器已經(jīng)成為了繼原子武器、生物武器、化學(xué)武器之后的第四類戰(zhàn)略武器。可以說,未來國與國之間的對抗首先將是信息技術(shù)的較量。網(wǎng)絡(luò)信息安全應(yīng)該成為國家安全的前提。
(6)計(jì)算機(jī)犯罪。計(jì)算機(jī)犯罪,通常是利用竊取口令等手段非法侵人計(jì)算機(jī)信息系統(tǒng),傳播有害信息,惡意破壞計(jì)算機(jī)系統(tǒng),實(shí)施貪污、盜竊、詐騙和金融犯罪等活動。
在一個開放的網(wǎng)絡(luò)環(huán)境中,大量信息在網(wǎng)上流動,這為不法分子提供了攻擊目標(biāo)。他們利用不同的攻擊手段,獲得訪問或修改在網(wǎng)中流動的敏感信息,闖入用戶或政府部門的計(jì)算機(jī)系統(tǒng),進(jìn)行窺視、竊取、篡改數(shù)據(jù)。不受時間、地點(diǎn)、條件限制的網(wǎng)絡(luò)詐騙,其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計(jì)算機(jī)信息系統(tǒng)的犯罪活動日益增多。防火墻的安全功能及安全網(wǎng)絡(luò)方案
2.1防火墻具備的安全功能
防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下基本功能:
(1)報警功能,將任何有網(wǎng)絡(luò)連接請求的程序通知用戶,用戶自行判斷是否放行也或阻斷其程序連接網(wǎng)絡(luò)。
(2)黑白名單功能,可以對現(xiàn)在或曾經(jīng)請求連接網(wǎng)絡(luò)的程序進(jìn)行規(guī)則設(shè)置。包括以后不準(zhǔn)許連接網(wǎng)網(wǎng)等功能。
(3)局域網(wǎng)查詢功能,可以查詢本局域網(wǎng)內(nèi)其用戶,并顯示各用戶主機(jī)名。
(4)流量查看功能,對計(jì)算機(jī)進(jìn)出數(shù)據(jù)流量進(jìn)行查看,直觀的完整的查看實(shí)時數(shù)據(jù)量和上傳下載數(shù)據(jù)率。
(5)端口掃描功能,戶自可以掃描本機(jī)端口,端口范圍為0-65535端口,掃描完后將顯示已開放的端口。
(6)系統(tǒng)日志功能,日志分為流量日志和安全日志,流量日志是記錄不同時間數(shù)據(jù)包進(jìn)去計(jì)算機(jī)的情況,分別記錄目標(biāo)地址,對方地址,端口號等。安全日志負(fù)責(zé)記錄請求連接網(wǎng)絡(luò)的程序,其中包括記錄下程序的請求連網(wǎng)時間,程序目錄路徑等。(7)系統(tǒng)服務(wù)功能,可以方便的查看所以存在于計(jì)算機(jī)內(nèi)的服務(wù)程序。可以關(guān)閉,啟動,暫停計(jì)算機(jī)內(nèi)的服務(wù)程序。
(8)連網(wǎng)/斷網(wǎng)功能,在不使用物理方法下使用戶計(jì)算機(jī)連接網(wǎng)絡(luò)或斷開網(wǎng)絡(luò)。完成以上功能使系統(tǒng)能對程序連接網(wǎng)絡(luò)進(jìn)行管理,大大提高了用戶上網(wǎng)的效率,降低的上網(wǎng)風(fēng)險。從而用戶上網(wǎng)娛樂的質(zhì)量達(dá)到提高,同時也達(dá)到網(wǎng)絡(luò)安全保護(hù)的目的。
2.2 計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅網(wǎng)絡(luò)安全的解決方案
2.2.1入侵檢測系統(tǒng)部署
入侵檢測能力是衡量一個防御體系是否完整有效的重要因素,強(qiáng)大完整的入侵檢
測體系可以彌補(bǔ)防火墻相對靜態(tài)防御的不足。對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進(jìn)行實(shí)時檢測,及時發(fā)現(xiàn)各種可能的攻擊企圖,并采取相應(yīng)的措施。具體來講,就是將入侵檢測引擎接入中心交換機(jī)上。入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身,能實(shí)時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù),利用內(nèi)置的攻擊特征庫,使用模式匹配和智能分析的方法,檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異常現(xiàn)象,并在數(shù)據(jù)庫中記錄有關(guān)事件,作為網(wǎng)絡(luò)管理員事后分析的依據(jù);如果情況嚴(yán)重,系統(tǒng)可以發(fā)出實(shí)時報警,使得學(xué)校管理員能夠及時采取應(yīng)對措施。
2.2.2漏洞掃描系統(tǒng)
采用目前最先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查,并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報告,為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。
2.2.3網(wǎng)絡(luò)版殺毒產(chǎn)品部署
在該網(wǎng)絡(luò)防病毒方案中,我們最終要達(dá)到一個目的就是:要在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作,為了實(shí)現(xiàn)這一點(diǎn),我們應(yīng)該在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時為了有效、快捷地實(shí)施和管理整個網(wǎng)絡(luò)的防病毒體系,應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管理、分布查殺等多種功能。
2.2.4 安全服務(wù)配置
安全服務(wù)隔離區(qū)(DMZ)把服務(wù)器機(jī)群和系統(tǒng)管理機(jī)群單獨(dú)劃分出來, 設(shè)置為安全服務(wù)隔離區(qū), 它既是內(nèi)部網(wǎng)絡(luò)的一部分, 又是一個獨(dú)立的局域網(wǎng),單獨(dú)劃分出來是為了更好的保護(hù)服務(wù)器上數(shù)據(jù)和系統(tǒng)管理的正常運(yùn)行。建議通過NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)
技術(shù)將受保護(hù)的內(nèi)部網(wǎng)絡(luò)的全部主機(jī)地址映射成防火墻上設(shè)置的少數(shù)幾個有效公網(wǎng)IP地址。這不僅可以對外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和IP地址, 保護(hù)內(nèi)部網(wǎng)絡(luò)的安全, 也可以大大節(jié)省公網(wǎng)IP地址的使用, 節(jié)省了投資成本。
如果單位原來已有邊界路由器, 則可充分利用原有設(shè)備, 利用邊界路由器的包過
濾功能, 添加相應(yīng)的防火墻配置,這樣原來的路由器也就具有防火墻功能了。然后再利用防火墻與需要保護(hù)的內(nèi)部網(wǎng)絡(luò)連接。對于DMZ區(qū)中的公用服務(wù)器, 則可直接與邊界路由器相連,不用經(jīng)過防火墻。它可只經(jīng)過路由器的簡單防護(hù)。在此拓?fù)浣Y(jié)構(gòu)中, 邊界路由器與防火墻就一起組成了兩道安全防線, 并且在這兩者之間可以設(shè)置一個DMZ區(qū), 用來放置那些允許外部用戶訪問的公用服務(wù)器設(shè)施。
2.2.5 配置訪問策略
訪問策略是防火墻的核心安全策略, 所以要經(jīng)過詳盡的信息統(tǒng)計(jì)才可以進(jìn)行設(shè)置。在過程中我們需要了解本單位對內(nèi)對外的應(yīng)用以及所對應(yīng)的源地址、目的地址、TCP 或UDP的端口, 并根據(jù)不同應(yīng)用的執(zhí)行頻繁程度對策略在規(guī)則表中的位置進(jìn)行排序, 然后才能實(shí)施配置。原因是防火墻進(jìn)行規(guī)則查找時是順序執(zhí)行的, 如果將常用的規(guī)則放在首位就可以提高防火墻的工作效率。
2.2.6 日志監(jiān)控
日志監(jiān)控是十分有效的安全管理手段。往往許多管理員認(rèn)為只要可以做日志的信息就去采集。如: 所有的告警或所有與策略匹配或不匹配的流量等等,這樣的做法看似日志信息十分完善, 但每天進(jìn)出防火墻的數(shù)據(jù)有上百萬甚至更多, 所以, 只有采集到最關(guān)鍵的日志才是真正有用的日志。一般而言,系統(tǒng)的告警信息是有必要記錄的, 對于流量信息進(jìn)行選擇, 把影響網(wǎng)絡(luò)安全有關(guān)的流量信息保存下來。計(jì)算機(jī)網(wǎng)絡(luò)安全方案設(shè)計(jì)并實(shí)現(xiàn)
3.1桌面安全系統(tǒng)
用戶的重要信息都是以文件的形式存儲在磁盤上,使用戶可以方便地存取、修改、分發(fā)。這樣可以提高辦公的效率,但同時也造成用戶的信息易受到攻擊,造成泄密。特別是對于移動辦公的情況更是如此。因此,需要對移動用戶的文件及文件夾進(jìn)行本地安全管理,防止文件泄密等安全隱患。
本設(shè)計(jì)方案采用清華紫光公司出品的紫光S鎖產(chǎn)品,“紫光S鎖”是清華紫光“桌面計(jì)算機(jī)信息安全保護(hù)系統(tǒng)”的商品名稱。紫光S鎖的內(nèi)部集成了包括中央處理器(CPU)、加密運(yùn)算協(xié)處理器(CAU)、只讀存儲器(ROM),隨機(jī)存儲器(RAM)、電可擦除可編程只讀存儲器(E2PROM)等,以及固化在ROM內(nèi)部的芯片操作系統(tǒng)COS(Chip Operating System)、硬件ID號、各種密鑰和加密算法等。紫光S鎖采用了通過中國人民銀行認(rèn)證的SmartCOS,其安全模塊可防止非法數(shù)據(jù)的侵入和數(shù)據(jù)的篡改,防止非法軟件對S鎖進(jìn)行操作。
3.2病毒防護(hù)系統(tǒng)
基于單位目前網(wǎng)絡(luò)的現(xiàn)狀,在網(wǎng)絡(luò)中添加一臺服務(wù)器,用于安裝IMSS。
(1)郵件防毒。采用趨勢科技的ScanMail for Notes。該產(chǎn)品可以和Domino的群件服務(wù)器無縫相結(jié)合并內(nèi)嵌到Notes的數(shù)據(jù)庫中,可防止病毒入侵到LotueNotes的數(shù)據(jù)庫及電子郵件,實(shí)時掃描并清除隱藏于數(shù)據(jù)庫及信件附件中的病毒。可通過任何Notes工作站或Web界面遠(yuǎn)程控管防毒管理工作,并提供實(shí)時監(jiān)控病毒流量的活動記錄報告。ScanMail是Notes Domino Server使用率最高的防病毒軟件。
(2)服務(wù)器防毒。采用趨勢科技的ServerProtect。該產(chǎn)品的最大特點(diǎn)是內(nèi)含集中管理的概念,防毒模塊和管理模塊可分開安裝。一方面減少了整個防毒系統(tǒng)對原系統(tǒng)的影響,另一方面使所有服務(wù)器的防毒系統(tǒng)可以從單點(diǎn)進(jìn)行部署,管理和更新。
(3)客戶端防毒。采用趨勢科技的OfficeScan。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng),使管理者通過單點(diǎn)控制所有客戶機(jī)上的防毒模塊,并可以自動對所有客戶端的防
毒模塊進(jìn)行更新。其最大特點(diǎn)是擁有靈活的產(chǎn)品集中部署方式,不受Windows域管理模式的約束,除支持SMS,登錄域腳本,共享安裝以外,還支持純Web的部署方式。
(4)集中控管TVCS。管理員可以通過此工具在整個企業(yè)范圍內(nèi)進(jìn)行配置、監(jiān)視和維護(hù)趨勢科技的防病毒軟件,支持跨域和跨網(wǎng)段的管理,并能顯示基于服務(wù)器的防病毒產(chǎn)品狀態(tài)。無論運(yùn)行于何種平臺和位置,TVCS在整個網(wǎng)絡(luò)中總起一個單一管理控制臺作用。簡便的安裝和分發(fā)代理部署,網(wǎng)絡(luò)的分析和病毒統(tǒng)計(jì)功能以及自動下載病毒代碼文件和病毒爆發(fā)警報,給管理帶來極大的便利。
3.3 動態(tài)口令系統(tǒng)
動態(tài)口令系統(tǒng)在國際公開的密碼算法基礎(chǔ)上,結(jié)合生成動態(tài)口令的特點(diǎn),加以精心修改,通過十次以上的非線性迭代運(yùn)算,完成時間參數(shù)與密鑰充分的混合擴(kuò)散。在此基礎(chǔ)上,采用先進(jìn)的身份認(rèn)證及加解密流程、先進(jìn)的密鑰管理方式,從整體上保證了系統(tǒng)的安全性。
單位安全網(wǎng)由多個具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成,在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷,從而構(gòu)成了對網(wǎng)絡(luò)安全的重要隱患。本設(shè)計(jì)方案選用四臺網(wǎng)御防火墻,分別配置在高性能服務(wù)器和三個重要部門的局域網(wǎng)出入口,實(shí)現(xiàn)這些重要部門的訪問控制。
通過在核心交換機(jī)和高性能服務(wù)器群之間及核心交換機(jī)和重要部門之間部署防火墻,通過防火墻將網(wǎng)絡(luò)內(nèi)部不同部門的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段,彼此隔離。這樣不僅保護(hù)了單位網(wǎng)絡(luò)服務(wù)器,使其不受來自內(nèi)部的攻擊,也保護(hù)了各部門網(wǎng)絡(luò)和數(shù)據(jù)服務(wù)器不受來自單位網(wǎng)內(nèi)部其他部門的網(wǎng)絡(luò)的攻擊。如果有人闖進(jìn)您的一個部門,或者如果病毒開始蔓延,網(wǎng)段能夠限制造成的損壞進(jìn)一步擴(kuò)大。
為有效解決辦公區(qū)之間信息的傳輸安全,可以在多個子網(wǎng)之間建立起獨(dú)立的安全通道,通過嚴(yán)格的加密和認(rèn)證措施來保證通道中傳送的數(shù)據(jù)的完整性、真實(shí)性和私有性。
SJW-22網(wǎng)絡(luò)密碼機(jī)系統(tǒng)組成
網(wǎng)絡(luò)密碼機(jī)(硬件):是一個基于專用內(nèi)核,具有自主版權(quán)的高級通信保護(hù)控制系
統(tǒng)。
本地管理器(軟件):是一個安裝于密碼機(jī)本地管理平臺上的基于網(wǎng)絡(luò)或串口方式的網(wǎng)絡(luò)密碼機(jī)本地管理系統(tǒng)軟件。
中心管理器(軟件):是一個安裝于中心管理平臺(Windows系統(tǒng))上的對全網(wǎng)的密碼機(jī)設(shè)備進(jìn)行統(tǒng)一管理的系統(tǒng)軟件。
根據(jù)以上多層次安全防范的策略,安全網(wǎng)的安全建設(shè)可采取“加密”、“外防”、“內(nèi)審”相結(jié)合的方法,“內(nèi)審”是對系統(tǒng)內(nèi)部進(jìn)行監(jiān)視、審查,識別系統(tǒng)是否正在受到攻擊以及內(nèi)部機(jī)密信息是否泄密,以解決內(nèi)層安全。
安全審計(jì)系統(tǒng)能幫助用戶對安全網(wǎng)的安全進(jìn)行實(shí)時監(jiān)控,及時發(fā)現(xiàn)整個網(wǎng)絡(luò)上的動態(tài),發(fā)現(xiàn)網(wǎng)絡(luò)入侵和違規(guī)行為,忠實(shí)記錄網(wǎng)絡(luò)上發(fā)生的一切,提供取證手段。作為網(wǎng)絡(luò)安全十分重要的一種手段,安全審計(jì)系統(tǒng)包括識別、記錄、存儲、分析與安全相關(guān)行為有關(guān)的信息。
在安全網(wǎng)中使用的安全審計(jì)系統(tǒng)應(yīng)實(shí)現(xiàn)如下功能:安全審計(jì)自動響應(yīng)、安全審計(jì)數(shù)據(jù)生成、安全審計(jì)分析、安全審計(jì)瀏覽、安全審計(jì)事件存儲、安全審計(jì)事件選擇等。
本設(shè)計(jì)方案選用“漢邦軟科”的安全審計(jì)系統(tǒng)作為安全審計(jì)工具。
漢邦安全審計(jì)系統(tǒng)是針對目前網(wǎng)絡(luò)發(fā)展現(xiàn)狀及存在的安全問題,面向企事業(yè)的網(wǎng)絡(luò)管理人員而設(shè)計(jì)的一套網(wǎng)絡(luò)安全產(chǎn)品,是一個分布在整個安全網(wǎng)范圍內(nèi)的網(wǎng)絡(luò)安全監(jiān)視監(jiān)測、控制系統(tǒng)。
(1)安全審計(jì)系統(tǒng)由安全監(jiān)控中心和主機(jī)傳感器兩個部分構(gòu)成。主機(jī)傳感器安裝在要監(jiān)視的目標(biāo)主機(jī)上,其監(jiān)視目標(biāo)主機(jī)的人機(jī)界面操作、監(jiān)控RAS連接、監(jiān)控網(wǎng)絡(luò)連接情況及共享資源的使用情況。安全監(jiān)控中心是管理平臺和監(jiān)控平臺,網(wǎng)絡(luò)管理員通過安全監(jiān)控中心為主機(jī)傳感器設(shè)定監(jiān)控規(guī)則,同時獲得監(jiān)控結(jié)果、報警信息以及日志的審計(jì)。主要功能有文件保護(hù)審計(jì)和主機(jī)信息審計(jì)。
①文件保護(hù)審計(jì):文件保護(hù)安裝在審計(jì)中心,可有效的對被審計(jì)主機(jī)端的文件進(jìn)行管理規(guī)則設(shè)置,包括禁止讀、禁止寫、禁止刪除、禁止修改屬性、禁止重命名、記錄日志、提供報警等功能。以及對文件保護(hù)進(jìn)行用戶管理。
②主機(jī)信息審計(jì):對網(wǎng)絡(luò)內(nèi)公共資源中,所有主機(jī)進(jìn)行審計(jì),可以審計(jì)到主機(jī)的機(jī)器名、當(dāng)前用戶、操作系統(tǒng)類型、IP地址信息。
(2)資源監(jiān)控系統(tǒng)主要有四類功能。①監(jiān)視屏幕:在用戶指定的時間段內(nèi),系統(tǒng)自動每隔數(shù)秒或數(shù)分截獲一次屏幕;用戶實(shí)時控制屏幕截獲的開始和結(jié)束。防火墻的配置
4.1防火墻的初始配置
像路由器一樣,在使用之前,防火墻也需要經(jīng)過基本的初始配置。但因各種防火墻的初始配置基本類似,所以在此僅以Cisco PIX防火墻為例進(jìn)行介紹。
防火墻的初始配置也是通過控制端口(Console)與PC機(jī)(通常是便于移動的筆記本電腦)的串口連接,再通過Windows系統(tǒng)自帶的超級終端(HyperTerminal)程序進(jìn)行選項(xiàng)配置。防火墻的初始配置物理連接與前面介紹的交換機(jī)初始配置連接方法一樣,參見圖1所示。
防火墻除了以上所說的通過控制端口(Console)進(jìn)行初始配置外,也可以通過telnet和Tffp配置方式進(jìn)行高級配置,但Telnet配置方式都是在命令方式中配置,難度較大,而Tffp方式需要專用的Tffp服務(wù)器軟件,但配置界面比較友好。
防火墻與路由器一樣也有四種用戶配置模式,即:普通模式(Unprivileged mode)、特權(quán)模式(Privileged Mode)、配置模式(Configuration Mode)和端口模式(Interface Mode),進(jìn)入這四種用戶模式的命令也與路由器一樣:
普通用戶模式無需特別命令,啟動后即進(jìn)入;
進(jìn)入特權(quán)用戶模式的命令為“enable”;進(jìn)入配置模式的命令為“config terminal”;而進(jìn)入端口模式的命令為“interface ethernet()”。不過因?yàn)榉阑饓Φ亩丝跊]有路由器那么復(fù)雜,所以通常把端口模式歸為配置模式,統(tǒng)稱為“全局配置模式”。
防火墻的具體配置步驟如下:
1.將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的
一個空余串口上,參見圖1。
2.打開PIX防火電源,讓系統(tǒng)加電初始化,然后開啟與防火墻連接的主機(jī)。
3.運(yùn)行筆記本電腦Windows系統(tǒng)中的超級終端(HyperTerminal)程序(通常在“附件”程序組中)。對超級終端的配置與交換機(jī)或路由器的配置一樣,參見本教程前面有關(guān)介紹。
4.當(dāng)PIX防火墻進(jìn)入系統(tǒng)后即顯示“pixfirewall>”的提示符,這就證明防火墻已啟動成功,所進(jìn)入的是防火墻用戶模式。可以進(jìn)行進(jìn)一步的配置了。
5.輸入命令:enable,進(jìn)入特權(quán)用戶模式,此時系統(tǒng)提示為:pixfirewall#。
6.輸入命令: configure terminal,進(jìn)入全局配置模式,對系統(tǒng)進(jìn)行初始化設(shè)置。
(1).首先配置防火墻的網(wǎng)卡參數(shù)(以只有1個LAN和1個WAN接口的防火墻配置為例)
Interface ethernet0 auto # 0號網(wǎng)卡系統(tǒng)自動分配為WAN網(wǎng)卡,“auto”選項(xiàng)為系統(tǒng)自適應(yīng)網(wǎng)卡類型
Interface ethernet1 auto
(2).配置防火墻內(nèi)、外部網(wǎng)卡的IP地址
IP address inside ip_address netmask # Inside代表內(nèi)部網(wǎng)卡
IP address outside ip_address netmask # outside代表外部網(wǎng)卡
(3).指定外部網(wǎng)卡的IP地址范圍:
global 1 ip_address-ip_address
(4).指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址
nat 1 ip_address netmask
(5).配置某些控制選項(xiàng):
conduit global_ip port[-port] protocol foreign_ip [netmask]
其中,global_ip:指的是要控制的地址;port:指的是所作用的端口,0代表所有端口;protocol:指的是連接協(xié)議,比如:TCP、UDP等;foreign_ip:表示可訪問的global_ip外部IP地址;netmask:為可選項(xiàng),代表要控制的子網(wǎng)掩碼。
7.配置保存:wr mem
8.退出當(dāng)前模式
此命令為exit,可以任何用戶模式下執(zhí)行,執(zhí)行的方法也相當(dāng)簡單,只輸入命令本身即可。它與Quit命令一樣。下面三條語句表示了用戶從配置模式退到特權(quán)模式,再退到普通模式下的操作步驟。
pixfirewall(config)# exit
pixfirewall# exit
pixfirewall>
9.查看當(dāng)前用戶模式下的所有可用命令:show,在相應(yīng)用戶模式下鍵入這個命令后,即顯示出當(dāng)前所有可用的命令及簡單功能描述。
10.查看端口狀態(tài):show interface,這個命令需在特權(quán)用戶模式下執(zhí)行,執(zhí)行后即顯示出防火墻所有接口配置情況。
11.查看靜態(tài)地址映射:show static,這個命令也須在特權(quán)用戶模式下執(zhí)行,執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。
4.2 過濾防火墻的訪問配置
除了以上介紹的基本配置外,在防火墻的安全策略中最重要還是對訪問控制列表(ACL)進(jìn)行配有關(guān)置。下面介紹一些用于此方面配置的基本命令。
1.access-list:用于創(chuàng)建訪問規(guī)則
這一訪問規(guī)則配置命令要在防火墻的全局配置模式中進(jìn)行。同一個序號的規(guī)則可以看作一類規(guī)則,同一個序號之間的規(guī)則按照一定的原則進(jìn)行排列和選擇,這個順序可以通過 show access-list 命令看到。在這個命令中,又有幾種命令格式,分別執(zhí)行不同的命令。
(1)創(chuàng)建標(biāo)準(zhǔn)訪問列表
命令格式:access-list [ normal
special ] listnumber1 { permit
deny } source-addr [ source-mask ]
(2)創(chuàng)建擴(kuò)展訪問列表
命令格式:access-list [ normal
special ] listnumber2 { permit
deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ]
icmp-type [ icmp-code ] ] [ log ]
(3)刪除訪問列表
命令格式:no access-list { normal
special } { all
listnumber [ subitem ] }
上述命令參數(shù)說明如下:
●normal:指定規(guī)則加入普通時間段。
●special:指定規(guī)則加入特殊時間段。
●listnumber1:是1到99之間的一個數(shù)值,表示規(guī)則是標(biāo)準(zhǔn)訪問列表規(guī)則。
●listnumber2:是100到199之間的一個數(shù)值,表示規(guī)則是擴(kuò)展訪問列表規(guī)則。
●permit:表明允許滿足條件的報文通過。
●deny:表明禁止?jié)M足條件的報文通過。
●protocol:為協(xié)議類型,支持ICMP、TCP、UDP等,其它的協(xié)議也支持,此時沒有端口比較的概念;為IP時有特殊含義,代表所有的IP協(xié)議。
●source-addr:為源IP地址。
●source-mask:為源IP地址的子網(wǎng)掩碼,在標(biāo)準(zhǔn)訪問列表中是可選項(xiàng),不輸入則代表通配位為0.0.0.0。
●dest-addr:為目的IP地址。
●dest-mask:為目的地址的子網(wǎng)掩碼。
●operator:端口操作符,在協(xié)議類型為TCP或UDP時支持端口比較,支持的比較操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符為range,則后面需要跟兩個端口。
port1 在協(xié)議類型為TCP或UDP時出現(xiàn),可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值(如telnet)或0~65535之間的一個數(shù)值。port2 在協(xié)議類型為TCP或UDP且操作類型為range時出現(xiàn);可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值(如telnet)或0~65535之間的一個數(shù)值。
●icmp-type:在協(xié)議為ICMP時出現(xiàn),代表ICMP報文類型;可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值(如echo-reply)或者是0~255之間的一個數(shù)值。
●icmp-code:在協(xié)議為ICMP,且沒有選擇所設(shè)定的預(yù)設(shè)值時出現(xiàn);代表ICMP碼,是0~255之間的一個數(shù)值。
●log:表示如果報文符合條件,需要做日志。
●listnumber:為刪除的規(guī)則序號,是1~199之間的一個數(shù)值。
●subitem:指定刪除序號為listnumber的訪問列表中規(guī)則的序號。
例如,現(xiàn)要在華為的一款防火墻上配置一個“允許源地址為10.20.10.0 網(wǎng)絡(luò)、目的地址為10.20.30.0網(wǎng)絡(luò)的WWW訪問,但不允許使用FTP”的訪問規(guī)則。相應(yīng)配置語句只需兩行即可,如下:
Quidway(config)#access-list 100 permit tcp 10.20.10.0 255.0.0.0 10.20.30.0
255.0.0.0 eq www
Quidway(config)#access-list 100 deny tcp 10.20.10.0 255.0.0.0 10.20.30.0 255.0.0.0 eq ftp
2.clear access-list counters:清除訪問列表規(guī)則的統(tǒng)計(jì)信息
命令格式:clear access-list counters [ listnumber ]
這一命令必須在特權(quán)用戶模式下進(jìn)行配置。listnumber 參數(shù)是用指定要清除統(tǒng)計(jì)信息的規(guī)則號,如不指定,則清除所有的規(guī)則的統(tǒng)計(jì)信息。
如要在華為的一款包過濾路由器上清除當(dāng)前所使用的規(guī)則號為100的訪問規(guī)則統(tǒng)計(jì)信息。訪問配置語句為:
clear access-list counters 100
如有清除當(dāng)前所使用的所有規(guī)則的統(tǒng)計(jì)信息,則以上語句需改為:Quidway#clear access-list counters
3.ip access-group
使用此命令將訪問規(guī)則應(yīng)用到相應(yīng)接口上。使用此命令的no形式來刪除相應(yīng)的設(shè)置,對應(yīng)格式為:
ip access-group listnumber { in
out }
此命令須在端口用戶模式下配置,進(jìn)入端口用戶模式的命令為:interface ethernet(),括號中為相應(yīng)的端口號,通常0為外部接口,而1為內(nèi)部接口。進(jìn)入后再用ip access-group 命令來配置訪問規(guī)則。listnumber參數(shù)為訪問規(guī)則號,是1~199之間的一個數(shù)值(包括標(biāo)準(zhǔn)訪問規(guī)則和擴(kuò)展訪問規(guī)則兩類);in 表示規(guī)則應(yīng)用于過濾從接口接收到的報文;而out表示規(guī)則用于過濾從接口轉(zhuǎn)發(fā)出去的報文。一個接口的一個方向上最多可以應(yīng)用20類不同的規(guī)則;這些規(guī)則之間按照規(guī)則序號的大小進(jìn)行排列,序號大的排在前面,也就是優(yōu)先級高。對報文進(jìn)行過濾時,將采用發(fā)現(xiàn)符合的規(guī)則即得出過濾結(jié)果的方法來加快過濾速度。所以,建議在配置規(guī)則時,盡量將對同一個網(wǎng)絡(luò)配置的規(guī)則放在同一個序號的訪問列表中;在同一個序號的訪問列表中,規(guī)則之間的排列和選擇順序可以用show access-list命令來查看。
例如將規(guī)則100應(yīng)用于過濾從外部網(wǎng)絡(luò)接口上接收到的報文,配置語句為(同樣為在傾為包過濾路由器上):
ip access-group 100 in
如果要刪除某個訪問控制表列綁定設(shè)置,則可用no ip access-group listnumber { in
out } 命令。
4.show access-list
此配置命令用于顯示包過濾規(guī)則在接口上的應(yīng)用情況。命令格式為:show access-list [ all
listnumber
interface interface-name ]
這一命令須在特權(quán)用戶模式下進(jìn)行配置,其中all參數(shù)表示顯示所有規(guī)則的應(yīng)用情況,包括普通時間段內(nèi)及特殊時間段內(nèi)的規(guī)則;如果選擇listnumber參數(shù),則僅需顯示指定規(guī)則號的過濾規(guī)則;interface 表示要顯示在指定接口上應(yīng)用的所有規(guī)則序號;interface-name參數(shù)為接口的名稱。
使用此命令來顯示所指定的規(guī)則,同時查看規(guī)則過濾報文的情況。每個規(guī)則都有一個相應(yīng)的計(jì)數(shù)器,如果用此規(guī)則過濾了一個報文,則計(jì)數(shù)器加1;通過對計(jì)數(shù)器的觀察可以看出所配置的規(guī)則中,哪些規(guī)則是比較有效,而哪些基本無效。例如,現(xiàn)在要顯示當(dāng)前所使用序號為100的規(guī)則的使用情況,可執(zhí)行Quidway#show access-list 100語句即可,隨即系統(tǒng)即顯示這條規(guī)則的使用情況,格式如下:
Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect(3 matches,252 bytes--rule 1)
permit icmp 10.1.0.0 0.0.255.255 any echo(no matches--rule 2)
deny udp any any eq rip(no matches--rule 3)
5.show firewall
此命令須在特權(quán)用戶模式下執(zhí)行,它顯示當(dāng)前防火墻狀態(tài)。命令格式非常簡單,也為:show firewall。這里所說的防火墻狀態(tài),包括防火墻是否被啟用,啟用防火墻時是否采用了時間段包過濾及防火墻的一些統(tǒng)計(jì)信息。
6.Telnet
這是用于定義能過防火配置控制端口進(jìn)行遠(yuǎn)程登錄的有關(guān)參數(shù)選項(xiàng),也須在全局配置用戶模式下進(jìn)行配置。
命令格式為:telnet ip_address [netmask] [if_name]
其中的ip_address參數(shù)是用來指定用于Telnet登錄的IP地址,netmask為子網(wǎng)掩碼,if_name用于指定用于Telnet登錄的接口,通常不用指定,則表示此IP地址適用于所有端口。如:
telnet 192.168.1.1
如果要清除防火墻上某個端口的Telnet參數(shù)配置,則須用clear telnet命令,其格式為:clear telnet [ip_address [netmask] [if_name]],其中各選項(xiàng)說明同上。它與另一個命令no telnet功能基本一樣,不過它是用來刪除某接口上的Telnet配置,命令格式為:no telnet [ip_address [netmask] [if_name]]。
如果要顯示當(dāng)前所有的Telnet配置,則可用show telnet命令。
最簡單的防火墻配置,就是直接在內(nèi)部網(wǎng)和外部網(wǎng)之間加裝一個包過濾路由器或者應(yīng)用網(wǎng)關(guān)。為更好地實(shí)現(xiàn)網(wǎng)絡(luò)安全,有時還要將幾種防火墻技術(shù)組合起來構(gòu)建防火墻系統(tǒng)。目前比較流行的有以下三種防火墻配置方案。
4.3雙宿主機(jī)網(wǎng)關(guān)(Dual Homed Gateway)這種配置是用一臺裝有兩個網(wǎng)絡(luò)適配器的雙宿主機(jī)做防火墻。雙宿主機(jī)用兩個網(wǎng)絡(luò)適配器分別連接兩個網(wǎng)絡(luò),又稱堡壘主機(jī)。堡壘主機(jī)上運(yùn)行著防火墻軟件(通常是代理服務(wù)器),可以轉(zhuǎn)發(fā)應(yīng)用程序,提供服務(wù)等。雙宿主機(jī)網(wǎng)關(guān)有一個致命弱點(diǎn),一旦入侵者侵入堡壘主機(jī)并使該主機(jī)只具有路由器功能,則任何網(wǎng)上用戶均可以隨便訪問有保護(hù)的內(nèi)部網(wǎng)絡(luò)(如圖1)。
三種流行防火墻配置方案分析(圖一)
4.4屏蔽主機(jī)網(wǎng)關(guān)(Screened Host Gateway)
屏蔽主機(jī)網(wǎng)關(guān)易于實(shí)現(xiàn),安全性好,應(yīng)用廣泛。它又分為單宿堡壘主機(jī)和雙宿堡壘主機(jī)兩種類型。先來看單宿堡壘主機(jī)類型。一個包過濾路由器連接外部網(wǎng)絡(luò),同時
一個堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。堡壘主機(jī)只有一個網(wǎng)卡,與內(nèi)部網(wǎng)絡(luò)連接(如圖2)。通常在路由器上設(shè)立過濾規(guī)則,并使這個單宿堡壘主機(jī)成為從 Internet惟一可以訪問的主機(jī),確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。而Intranet內(nèi)部的客戶機(jī),可以受控制地通過屏蔽主機(jī)和路由器訪問Internet.三種流行防火墻配置方案分析(圖二)
雙宿堡壘主機(jī)型與單宿堡壘主機(jī)型的區(qū)別是,堡壘主機(jī)有兩塊網(wǎng)卡,一塊連接內(nèi)部網(wǎng)絡(luò),一塊連接包過濾路由器(如圖3)。雙宿堡壘主機(jī)在應(yīng)用層提供代理服務(wù),與單宿型相比更加安全。
三種流行防火墻配置方案分析(圖三)
4.5屏蔽子網(wǎng)(Screened Subnet)
這種方法是在Intranet和Internet之間建立一個被隔離的子網(wǎng),用兩個包過濾路由器將這一子網(wǎng)分別與Intranet和 Internet 分開。兩個包過濾路由器放在子網(wǎng)的兩端,在子網(wǎng)內(nèi)構(gòu)成一個“緩沖地帶”(如圖4),兩個路由器一個控制Intranet 數(shù)據(jù)流,另一個控制Internet數(shù)據(jù)流,Intranet和Internet均可訪問屏蔽子網(wǎng),但禁止它們穿過屏蔽
子網(wǎng)通信。可根據(jù)需要在屏蔽子網(wǎng)中安裝堡壘主機(jī),為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù),但是來自兩網(wǎng)絡(luò)的訪問都必須通過兩個包過濾路由器的檢查。對于向Internet公開的服務(wù)器,像WWW、FTP、Mail等Internet服務(wù)器也可安裝在屏蔽子網(wǎng)內(nèi),這樣無論是外部用戶,還是內(nèi)部用戶都可訪問。這種結(jié)構(gòu)的防火墻安全性能高,具有很強(qiáng)的抗攻擊能力,但需要的設(shè)備多,造價高。
三種流行防火墻配置方案分析(圖四)當(dāng)然,防火墻本身也有其局限性,如不能防范繞過防火墻的入侵,像一般的防火墻不能防止受到病毒感染的軟件或文件的傳輸;難以避免來自內(nèi)部的攻擊等等。總之,防火墻只是一種整體安全防范策略的一部分,僅有防火墻是不夠的,安全策略還必須包括全面的安全準(zhǔn)則,即網(wǎng)絡(luò)訪問、本地和遠(yuǎn)程用戶認(rèn)證、撥出撥入呼叫、磁盤和數(shù)據(jù)加密以及病毒防護(hù)等有關(guān)的安全
總 結(jié)
經(jīng)過兩個月艱苦卓絕的努力,總于完成了本畢業(yè)設(shè)計(jì).從當(dāng)初領(lǐng)到題目到最后一個功能模塊的完成,經(jīng)歷了無數(shù)次的錯誤->修改代碼->重啟服務(wù)器->運(yùn)行的過程,感覺到平時學(xué)的知識是多么的淺薄,書到用時方恨少,現(xiàn)在是體驗(yàn)的真真切切.也充分反應(yīng)了我平時的基本功不扎實(shí),給我以后的工作敲響了警鐘,有了努力的方向.但通過本次畢業(yè)設(shè)計(jì),我也感受到了開源的方便,遇到什么問題,上網(wǎng)一查,就知道該怎么弄了,以前做個課程設(shè)計(jì)都是怕別人和我的一樣,不愿意給別人看,現(xiàn)在知道了程序弄不出來是多么的著急,學(xué)習(xí)都是相互的,互相研究才能共同進(jìn)步的.以后要多多注意這方面的事情, 本次畢業(yè)設(shè)計(jì)是我工作前一次很好的演練和實(shí)踐的機(jī)會,是培養(yǎng)獨(dú)立考問題和自學(xué)能力的鍛煉,使我意識到必須努力學(xué)習(xí)才能才工作中體現(xiàn)自己的價值,適應(yīng)社會的需要.致 謝
經(jīng)過了三個月的努力,我完成了題目為:計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)。
本次設(shè)計(jì)能夠順利完成,我首先要感謝一些發(fā)表書籍的老師們。其次,我要感謝我的指導(dǎo)老師,她自始自終都給予了我莫大的幫助,對的設(shè)計(jì)中每一個計(jì)劃,每一項(xiàng)安排都提出了至關(guān)重要的建議,使我少走了許多彎路,節(jié)省了大量的時間,并且能不厭其煩地指導(dǎo)我技術(shù)上的問題,使我的系統(tǒng)更加完善和符合企業(yè)網(wǎng)站的要求.可以說,我的畢業(yè)設(shè)計(jì)的順利完成凝聚著導(dǎo)師的大量心血.另外,我還要感謝那些網(wǎng)上的朋友,他們毫不吝嗇的將自己所掌握的知識拿出來資源共享,才使我部分功能模塊得以實(shí)現(xiàn),謝謝他們.通過這次畢業(yè)設(shè)計(jì),我體會很多,學(xué)會是一回事,會用則就是另一回事了.以前感到自己專業(yè)技能還可以,但真正到用的時候就發(fā)現(xiàn)了很多缺陷,發(fā)現(xiàn)自己其實(shí)差距很大,還不能適應(yīng)工作.為我今后指明了努力方向.再一次,我向多方面支持和幫助過我的人表示由衷的感謝!
參考文獻(xiàn)
[1]張寶劍.計(jì)算機(jī)安全與防護(hù)技術(shù)[M].機(jī)械工業(yè)出版社,2003.[2]林海波,網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京清華大學(xué)出版社,2000.[3]凌雨欣,常紅.網(wǎng)絡(luò)安全技術(shù)與反網(wǎng)絡(luò)入侵者[M].冶金工業(yè)出版社,2001.[4]王蓉,林海波.網(wǎng)絡(luò)安全與防火墻技術(shù)[M].清華大學(xué)出版社,2000.[5]余建斌.黑客的攻擊手段及用戶對策[M].北京人民郵電出版社,2005.[6](美)布萊克赫茲.Microsoft,UNIX及0racle主機(jī)和網(wǎng)絡(luò)安全[M].電子工業(yè)出版社,2004.[7] 馬程.防火墻在網(wǎng)絡(luò)安全中的應(yīng)用[J].甘肅科技,2008
第二篇:計(jì)算機(jī)網(wǎng)絡(luò)安全防火墻技術(shù)畢業(yè)論文
計(jì)算機(jī)網(wǎng)絡(luò)安全防火墻技術(shù)畢業(yè)論文
防火墻原是指建筑物大廈用來防止火災(zāi)蔓延的隔斷墻。從理論上講,Internet防火墻服務(wù)也屬于類似的用來防止外界侵入的。它可以防止 Internet上的各種危險(病毒、資源盜用等)傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實(shí)上,防火墻并不像現(xiàn)實(shí)生活中的防火墻,它有點(diǎn)像古代守護(hù)城池用的護(hù)城河,服務(wù)于以下多個目的:
1)限定人們從一個特定的控制點(diǎn)進(jìn)入;
2)限定人們從一個特定的點(diǎn)離開;
3)防止侵入者接近你的其他防御設(shè)施;
4)有效地阻止破壞者對你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。
在現(xiàn)實(shí)生活中,Internet防火墻常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)上并接入Internet。
從上圖不難看出,所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。從邏輯上講,防火墻是起分隔、限制、分析的作用,這一點(diǎn)同樣可以從圖1中體會出來。那么,防火墻究竟是什么呢?實(shí)際上,防火墻是加強(qiáng)Internet(內(nèi)部網(wǎng))之間安全防御的一個或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。3.防火墻技術(shù)與產(chǎn)品發(fā)展的回顧
防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能:●過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);
●管理進(jìn)、出網(wǎng)絡(luò)的訪問行為;
●封堵某些禁止行為;
●記錄通過防火墻的信息內(nèi)容和活動;
●對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。
為實(shí)現(xiàn)以上功能,在防火墻產(chǎn)品的開發(fā)中,人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓?fù)洹⒂?jì)算機(jī)操作系統(tǒng)、路由、加密、訪問控制、安全審計(jì)等成熟或先進(jìn)的技術(shù)和手段。縱觀防火墻近年來的發(fā)展,可以將其劃分為如下四個階段(即四代)。
3.1 基于路由器的防火墻
由于多數(shù)路由器本身就包含有分組過濾功能,故網(wǎng)絡(luò)訪問控制可能通過路控制來實(shí)現(xiàn),從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點(diǎn)是:
1)利用路由器本身對分組的解析,以訪問控制表(Access List)方式實(shí)現(xiàn)對分組的過濾;
2)過濾判斷的依據(jù)可以是:地址、端口號、IP旗標(biāo)及其他網(wǎng)絡(luò)特征;
3)只有分組過濾的功能,且防火墻與路由器是一體的。這樣,對安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法,而對安全性要求高的網(wǎng)絡(luò)則需要單獨(dú)利用一臺路由器作為防火墻。
●路由協(xié)議十分靈活,本身具有安全漏洞,外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如,在使用FTP協(xié)議時,外部服務(wù)器容易從20號端口上與內(nèi)部網(wǎng)相連,即使在路由器上設(shè)置了過濾規(guī)則,內(nèi)部網(wǎng)絡(luò)的20號端口仍可以由外部探尋。
●路由器上分組過濾規(guī)則的設(shè)置和配置存在安全隱患。對路由器中過濾規(guī)則的設(shè)置和配置十分復(fù)雜,它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性,一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任,加之一旦出現(xiàn)新的協(xié)議,管理員就得加上更多的規(guī)則去限制,這往往會帶來很多錯誤。
●路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的,黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。
●路由器防火墻的本質(zhì)缺陷是:由于路由器的主要功能是為網(wǎng)絡(luò)訪問提供動態(tài)的、靈活的路由,而防火墻則要對訪問行為實(shí)施靜態(tài)的、固定的控制,這是一對難以調(diào)和的矛盾,防火墻的規(guī)則設(shè)置會大大降低路由器的性能。
可以說基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施,用這種權(quán)宜之計(jì)去對付黑客的攻擊是十分危險的。
3.2 用戶化的防火墻工具套
為了彌補(bǔ)路由器防火墻的不足,很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護(hù)自己的網(wǎng)絡(luò),從而推動了用戶防火墻工具套的出現(xiàn)。
作為第二代防火墻產(chǎn)品,用戶化的防火墻工具套具有以下特征:
1)將過濾功能從路由器中獨(dú)立出來,并加上審計(jì)和告警功能;
2)針對用戶需求,提供模塊化的軟件包;
3)軟件可以通過網(wǎng)絡(luò)發(fā)送,用戶可以自己動手構(gòu)造防火墻;
4)與第一代防火墻相比,安全性提高了,價格也降低了。
由于是純軟件產(chǎn)品,第二代防火墻產(chǎn)品無論在實(shí)現(xiàn)上還是在維護(hù)上都對系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求,并帶來以下問題:
配置和維護(hù)過程復(fù)雜、費(fèi)時;
對用戶的技術(shù)要求高;
全軟件實(shí)現(xiàn),使用中出現(xiàn)差錯的情況很多。
3.3 建立在通用操作系統(tǒng)上的防火墻
基于軟件的防火墻在銷售、使用和維護(hù)上的問題迫使防火墻開發(fā)商很快推出了建立在通用操作系統(tǒng)上的商用防火墻產(chǎn)品。近年來市場上廣泛使用的就是這一代產(chǎn)品,它們具有如下一些特點(diǎn):
1)是批量上市的專用防火墻產(chǎn)品;
2)包括分組過濾或者借用路由器的分組過濾功能;
3)裝有專用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令;
4)保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置;
5)安全性和速度大大提高。
第三代防火墻有以純軟件實(shí)現(xiàn)的,也有以硬件方式實(shí)現(xiàn)的,它們已經(jīng)得到了廣大用戶的認(rèn)同。但隨著安全需求的變化和使用時間的推延,仍表現(xiàn)出不少問題,比如:
1)作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知,由于源碼的保密,其安全性無從保證;
2)由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商,通用操作系統(tǒng)廠商不會對操作系統(tǒng)的安全性負(fù)責(zé);
3)從本質(zhì)上看,第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊,還要防止來自操作系統(tǒng)廠商的攻擊;
4)在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級網(wǎng)關(guān)且具有加密鑒別功能;
5)透明性好,易于使用。
第三篇:aj-dphba計(jì)算機(jī)網(wǎng)絡(luò)安全防火墻技術(shù)畢業(yè)論文
、.~ ① 我們‖打〈敗〉了敵人。
②我們‖〔把敵人〕打〈敗〉了。
計(jì)算機(jī)網(wǎng)絡(luò)安全防火墻技術(shù)畢業(yè)論文
防火墻原是指建筑物大廈用來防止火災(zāi)蔓延的隔斷墻。從理論上講,Internet防火墻服務(wù)也屬于類似的用來防止外界侵入的。它可以防止 Internet上的各種危險(病毒、資源盜用等)傳播到你的網(wǎng)絡(luò)內(nèi)部。而事實(shí)上,防火墻并不像現(xiàn)實(shí)生活中的防火墻,它有點(diǎn)像古代守護(hù)城池用的護(hù)城河,服務(wù)于以下多個目的:
1)限定人們從一個特定的控制點(diǎn)進(jìn)入;2)限定人們從一個特定的點(diǎn)離開;3)防止侵入者接近你的其他防御設(shè)施;
4)有效地阻止破壞者對你的計(jì)算機(jī)系統(tǒng)進(jìn)行破壞。
在現(xiàn)實(shí)生活中,Internet防火墻常常被安裝在受保護(hù)的內(nèi)部網(wǎng)絡(luò)上并接入Internet。
從上圖不難看出,所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。從邏輯上講,防火墻是起分隔、限制、分析的作用,這一點(diǎn)同樣可以從圖1中體會出來。那么,防火墻究竟是什么呢?實(shí)際上,防火墻是加強(qiáng)Internet(內(nèi)部網(wǎng))之間安全防御的一個或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。3.防火墻技術(shù)與產(chǎn)品發(fā)展的回顧
防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過控制和監(jiān)測網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能: ●過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);●管理進(jìn)、出網(wǎng)絡(luò)的訪問行為;●封堵某些禁止行為;
●記錄通過防火墻的信息內(nèi)容和活動;●對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警。
為實(shí)現(xiàn)以上功能,在防火墻產(chǎn)品的開發(fā)中,人們廣泛地應(yīng)用了網(wǎng)絡(luò)拓?fù)洹⒂?jì)算機(jī)操作系統(tǒng)、路由、加密、訪問控制、安全審計(jì)等成熟或先進(jìn)的技術(shù)和手段。縱觀防火墻近年來的發(fā)展,可以將其劃分為如下四個階段(即四代)。
3.1 基于路由器的防火墻
由于多數(shù)路由器本身就包含有分組過濾功能,故網(wǎng)絡(luò)訪問控制可能通過路控制來實(shí)現(xiàn),從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點(diǎn)是: 1)利用路由器本身對分組的解析,以訪問控制表(Access List)方式實(shí)現(xiàn)對分組的過濾;2)過濾判斷的依據(jù)可以是:地址、端口號、IP旗標(biāo)及其他網(wǎng)絡(luò)特征;
3)只有分組過濾的功能,且防火墻與路由器是一體的。這樣,對安全要求低的網(wǎng)絡(luò)可以采用路由器附帶防火墻功能的方法,而對安全性要求高的網(wǎng)絡(luò)則需要單獨(dú)利用一臺路由器作為防火墻。
●路由協(xié)議十分靈活,本身具有安全漏洞,外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如,在使用FTP協(xié)議時,外部服務(wù)器容易從20號端口上與內(nèi)部網(wǎng)相連,即使在路由器上設(shè)置了過濾規(guī)則,內(nèi)部網(wǎng)絡(luò)的20號端口仍可以由外部探尋。
●路由器上分組過濾規(guī)則的設(shè)置和配置存在安全隱患。對路由器中過濾規(guī)則的設(shè)置和配置十分復(fù)雜,它涉及到規(guī)則的邏輯一致性。作用端口的有效性和規(guī)則集的正確性,一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任,加之一旦出現(xiàn)新的協(xié)議,管理員就得加上更多的規(guī)則去限制,這往往會帶來很多錯誤。
●路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網(wǎng)絡(luò)上是以明文方式傳送的,黑客(Hacker)可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。
●路由器防火墻的本質(zhì)缺陷是:由于路由器的主要功能是為網(wǎng)絡(luò)訪問提供動態(tài)的、靈活的路由,而防火墻則要對訪問行為實(shí)施靜態(tài)的、固定的控制,這是一對難以調(diào)和的矛盾,防火墻的規(guī)則設(shè)置會大大降低路由器的性能。
可以說基于路由器的防火墻技術(shù)只是網(wǎng)絡(luò)安全的一種應(yīng)急措施,用這種權(quán)宜之計(jì)去對付黑客的攻擊是十分危險的。
3.2 用戶化的防火墻工具套
為了彌補(bǔ)路由器防火墻的不足,很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護(hù)自己的網(wǎng)絡(luò),從而推動了用戶防火墻工具套的出現(xiàn)。
作為第二代防火墻產(chǎn)品,用戶化的防火墻工具套具有以下特征: 1)將過濾功能從路由器中獨(dú)立出來,并加上審計(jì)和告警功能;2)針對用戶需求,提供模塊化的軟件包;
3)軟件可以通過網(wǎng)絡(luò)發(fā)送,用戶可以自己動手構(gòu)造防火墻;4)與第一代防火墻相比,安全性提高了,價格也降低了。
由于是純軟件產(chǎn)品,第二代防火墻產(chǎn)品無論在實(shí)現(xiàn)上還是在維護(hù)上都對系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求,并帶來以下問題: 配置和維護(hù)過程復(fù)雜、費(fèi)時;對用戶的技術(shù)要求高;
全軟件實(shí)現(xiàn),使用中出現(xiàn)差錯的情況很多。
3.3 建立在通用操作系統(tǒng)上的防火墻
基于軟件的防火墻在銷售、使用和維護(hù)上的問題迫使防火墻開發(fā)商很快推出了建立在通用操
作系統(tǒng)上的商用防火墻產(chǎn)品。近年來市場上廣泛使用的就是這一代產(chǎn)品,它們具有如下一些
特點(diǎn):
1)是批量上市的專用防火墻產(chǎn)品;
2)包括分組過濾或者借用路由器的分組過濾功能;3)裝有專用的代理系統(tǒng),監(jiān)控所有協(xié)議的數(shù)據(jù)和指令;4)保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置;5)安全性和速度大大提高。
第三代防火墻有以純軟件實(shí)現(xiàn)的,也有以硬件方式實(shí)現(xiàn)的,它們已經(jīng)得到了廣大用戶的認(rèn)同
。但隨著安全需求的變化和使用時間的推延,仍表現(xiàn)出不少問題,比如:
1)作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知,由于源碼的保密,其安全性
無從保證;
2)由于大多數(shù)防火墻廠商并非通用操作系統(tǒng)的廠商,通用操作系統(tǒng)廠商不會對操作系統(tǒng)的安全性負(fù)責(zé);
3)從本質(zhì)上看,第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊,還要防止來自操作系統(tǒng)廠商的攻擊;
4)在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級網(wǎng)關(guān)且具有加密鑒別功能;5)透明性好,易于使用。
第四篇:淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù) 論文
JIU JIANG UNIVERSITY
畢 業(yè) 論 文
題 目: 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)
院 系: 信息科學(xué)與技術(shù)學(xué)院 專 業(yè): 網(wǎng)絡(luò)系統(tǒng)管理 姓 名:
年 級: 指導(dǎo)老師 :
二零一一年十一月二十日
摘 要
隨著時代的發(fā)展,Internet日益普及,網(wǎng)絡(luò)已經(jīng)成為信息資源的海洋,給人們帶來了極大的方便。但由于Internet是一個開放的,無控制機(jī)構(gòu)的網(wǎng)絡(luò),經(jīng)常會受到計(jì)算機(jī)病毒、黑客的侵襲。它可使計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)和文件丟失,系統(tǒng)癱瘓。因此,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全問題必須放在首位。作為保護(hù)局域子網(wǎng)的一種有效手段,防火墻技術(shù)備受睞。
本文主要闡述了網(wǎng)絡(luò)安全技術(shù)所要受到的各方面威脅以及自身存在的一些缺陷,所謂知己知彼,百戰(zhàn)不殆。只有了解了網(wǎng)絡(luò)安全存在的內(nèi)憂外患,才能更好的改善網(wǎng)絡(luò)安全技術(shù),發(fā)展網(wǎng)絡(luò)安全技術(shù)。然后主要闡述防火墻在網(wǎng)絡(luò)安全中起到的巨大的作用,防火墻的優(yōu)缺點(diǎn)及各種類型防火墻的使用和效果。
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的在飛速發(fā)展中,尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性,網(wǎng)絡(luò)信息的安全性變得日益重要,只有熟悉了各種對網(wǎng)絡(luò)安全的威脅,熟悉各種保護(hù)網(wǎng)路安全的技術(shù),我們才能更好的保護(hù)計(jì)算機(jī)和信息的安全。
關(guān)鍵字:計(jì)算機(jī)網(wǎng)絡(luò);網(wǎng)絡(luò)安全;防范措施;防火墻技術(shù)
II
Abstract With the development of The Times, the Internet has become increasingly popular and network information resources of the sea, and bring great convenience。But because of the Internet is an open, without control network, computer virus, often by hackers。It can make the computer and the computer network, the system files and data loss。Therefore, the computer network system security problems must be given priority。As the protection of local subnet an effective means, firewall technology。
This article mainly elaborated by network security technology to every aspect of the threat and its existence, some defects, so-called awareness。The existence of the 1930's and network security, can improve network security technology, the development of network security technology。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。
The computer network technology, especially in the rapid development of the Internet is becoming more and more widely applied in brought an unprecedented huge amounts of information, network of openness and freedom in the private information and data were damaged or infringed, the possibility of network information security is becoming increasingly important, only familiar to all kinds of network security threats, familiar with various protection network security technology, we can better protect the computer and information security。
Key words: Computer network, Network security, The prevention measures, Firewall technology
III
目錄
摘 要..................................................................II Abstract..............................................................III 引言....................................................................5 第一章 網(wǎng)絡(luò)安全概述.....................................................6 1.1計(jì)算機(jī)網(wǎng)絡(luò)安全的含義...........................................................6 1.2網(wǎng)絡(luò)信息安全的主要威脅.........................................................6 1.2.1自然威脅...................................................................6 1.2.2人為威脅—黑客攻擊與計(jì)算機(jī)病毒.............................................6 1.3計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因...............................................8 1.5影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素.......................................................8 第二章 計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略..........................................10 2.1防火墻技術(shù)....................................................................10 2.2 數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)..............................................12 2.3 入侵檢測技術(shù).................................................................13 2.4防病毒技術(shù)....................................................................13 2.4.1 對付病毒有以下四種基本方法.................................................14 2.5安全管理隊(duì)伍的建設(shè)............................................................17 第三章防火墻技術(shù)........................................................18 3.1防火墻的定義..................................................................18 3.2防火墻的功能..................................................................18 3.2.1防火墻是網(wǎng)絡(luò)安全的屏障......................................................18 3.2.2防火墻的種類................................................................18 3.3 防火墻的技術(shù)原理............................................................18 3.4 防火墻的應(yīng)用.................................................................19 3.4.1個人防火墻的應(yīng)用............................................................19 3.4.2防火墻技術(shù)在校園網(wǎng)中應(yīng)用....................................................23 結(jié)論...................................................................25 致謝...................................................................26 參考文獻(xiàn)...............................................................27 IV
引言
近年來,隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛,在帶來了前所未有的海量信息的同時,計(jì)算機(jī)網(wǎng)絡(luò)的安全性變得日益重要起來,由于計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)資源的共享性等因素,致使計(jì)算機(jī)網(wǎng)絡(luò)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊【1】。
為確保信息的安全與網(wǎng)絡(luò)暢通,研究計(jì)算機(jī)網(wǎng)絡(luò)的安全與防護(hù)措施已迫在眉捷,但網(wǎng)絡(luò)安全問題至今仍沒有能夠引起足夠的重視,更多的用戶認(rèn)為網(wǎng)絡(luò)安全問題離自己尚遠(yuǎn),這一點(diǎn)從大約有40%以上的用戶特別是企業(yè)級用戶沒有安裝防火墻(Firewall)便可以窺見一斑,而所有的問題都在向大家證明一個事實(shí),大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā),所以防火墻技術(shù)應(yīng)當(dāng)引起我們的注意和重視。
本文主要研究網(wǎng)絡(luò)安全的缺陷原由及網(wǎng)絡(luò)安全技術(shù)的原理和其他技術(shù),如防火墻技術(shù)對網(wǎng)絡(luò)安全起到的不可忽視的影響。
第一章 網(wǎng)絡(luò)安全概述
1.1計(jì)算機(jī)網(wǎng)絡(luò)安全的含義
計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化,使用者不同,對網(wǎng)絡(luò)安全的認(rèn)識和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時受到保護(hù),避免被竊聽、篡改和偽造;而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外,還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞,以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信,保持網(wǎng)絡(luò)通信的連續(xù)性。
從本質(zhì)上來講,網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網(wǎng)絡(luò)安全既有技術(shù)方面的問題,也有管理方面的問題,兩方面相互補(bǔ)充,缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。
1.2網(wǎng)絡(luò)信息安全的主要威脅
網(wǎng)絡(luò)安全所面臨的威脅來自很多方面,并且隨著時問的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。
1.2.1自然威脅
自然威脅可能來自于各種自然災(zāi)害、惡劣的場地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些無目的的事件,有時會直接威脅網(wǎng)絡(luò)的安全,影響信息的存儲媒體。威脅分別有:
1.自然災(zāi)害(如雷電、地震、火災(zāi)、水災(zāi)等),物理損壞(如硬盤損壞、設(shè)備使用壽命到期、外力破損等),設(shè)備故障(如停電斷電、電磁干擾等),意外事故。
2.電磁泄漏(如偵聽微機(jī)操作過程)。
3.操作失誤(如刪除文件,格式化硬盤,線路拆除等),意外疏漏(如系統(tǒng)掉電、死機(jī)等系統(tǒng)崩潰)
4.計(jì)算機(jī)系統(tǒng)機(jī)房環(huán)境的安全。
1.2.2人為威脅—黑客攻擊與計(jì)算機(jī)病毒
人為威脅就是說對網(wǎng)絡(luò)的人為攻擊。這些攻擊手段都是通過尋找系統(tǒng)的弱點(diǎn)【2】,以便達(dá)到破壞、欺騙、竊取數(shù)據(jù)等目的,造成經(jīng)濟(jì)上和政治上不可估量的損失。網(wǎng)絡(luò)安全的人為威脅主要分為以下幾種: ? 網(wǎng)絡(luò)缺陷
Intemet由于它的開放性迅速在全球范圍內(nèi)普及,但也正是因?yàn)殚_放性使其保護(hù)信息安全存在先天不足。Internet最初的設(shè)計(jì)考慮主要是考慮資源共享,基本沒有考慮安全問題,缺乏相應(yīng)的安全監(jiān)督機(jī)制。
? 黑客攻擊
自1998年后,網(wǎng)上的黑客越來越多,也越來越猖獗;與此同時黑客技術(shù)逐漸被越來越多的人掌握現(xiàn)在還缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段,使得黑客攻擊的隱蔽性好,“殺傷力”強(qiáng),這是網(wǎng)絡(luò)安全的主要威脅之一。? 各種病毒
病毒時時刻刻威脅著整個互聯(lián)網(wǎng)。像Nimda和CodeRed的爆發(fā)更是具有深遠(yuǎn)的影響,促使人們不得不在網(wǎng)絡(luò)的各個環(huán)節(jié)考慮對于各種病毒的檢測防治,對病毒徹底防御的重要性毋庸置疑。? 管理的欠缺及資源濫用
很多上了互聯(lián)網(wǎng)的企業(yè)缺乏對于網(wǎng)絡(luò)安全的認(rèn)識,管理上存在很多漏洞,特別是國內(nèi)的企業(yè),只是提供了接入Internet的通道,對于網(wǎng)絡(luò)上黑客的攻擊缺乏基本的應(yīng)對措施,同時企業(yè)內(nèi)部普遍存在資源濫用現(xiàn)象,這是造成網(wǎng)絡(luò)安全問題的根本原因。軟件的漏洞和后門:隨著CPU的頻率越來越高,軟件的規(guī)模越來越大,軟件系統(tǒng)中的漏洞也不可避免的存在,強(qiáng)大如微軟所開發(fā)的Windows也存在。各種各樣的安全漏洞和“后門”,這是網(wǎng)絡(luò)安全的主要威脅之一。? 網(wǎng)絡(luò)內(nèi)部用戶的誤操作和惡意行為
對于來自網(wǎng)絡(luò)內(nèi)部的攻擊,主流的網(wǎng)絡(luò)安全產(chǎn)品防火墻基本無能為力,這類攻擊及其誤操作行為需要網(wǎng)絡(luò)信息審計(jì)、IDS等主要針對內(nèi)部網(wǎng)絡(luò)安全的安全產(chǎn)品來抵御。
? 網(wǎng)絡(luò)資源濫用
網(wǎng)絡(luò)有了安全保證和帶寬管理,依然不能防止員工對網(wǎng)絡(luò)資源的濫用。等行為極大地降低了員工的工作效率。管理層希望員工更加有效地使用互聯(lián)網(wǎng),盡量避免網(wǎng)絡(luò)對工作帶來負(fù)面影響。? 信息泄漏
惡意、過失的不合理信息上傳和發(fā)布,可能會造成敏感信息泄漏、有害信息擴(kuò)散,危及社會、國家、體和個人利益。更有基于競爭需要,利用技術(shù)手段對目標(biāo)機(jī)信息資源進(jìn)行竊取。在眾多人為威脅中來自用戶和惡意軟件即計(jì)算機(jī)病毒的非法侵入嚴(yán)重,計(jì)算機(jī)病毒是利用程序干擾破壞系統(tǒng)正常工作的一種手段,它的產(chǎn)生和蔓延給信息系統(tǒng)的可靠性和安全性帶來嚴(yán)重的威脅和巨大的損失。? 操作系統(tǒng)存在的安全問題
操作系統(tǒng)是作為一個支撐軟件,使得你的程序或別的應(yīng)用系統(tǒng)在上面正常運(yùn)行的一個環(huán)境。操作系統(tǒng)提供了很多的管理功能,主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性,系統(tǒng)開發(fā)設(shè)計(jì)的不周而留下的破綻,都給網(wǎng)絡(luò)安全留下隱患。
? 數(shù)據(jù)庫存儲的內(nèi)容存在的安全問題
數(shù)據(jù)庫管理系統(tǒng)大量的信息存儲在各種各樣的數(shù)據(jù)庫里面,包括我們上網(wǎng)看到的所有信息,數(shù)據(jù)庫主要考慮的是信息方便存儲、利用和管理,但在安全方面考慮的比較少。例如:授權(quán)用戶超出了訪問權(quán)限進(jìn)行數(shù)據(jù)的更改活動;非法用戶繞過安全內(nèi)核,竊取信息。對于數(shù)據(jù)庫的安全而言,就是要保證數(shù)據(jù)的安全可靠和正確有效,即確保數(shù)據(jù)的安全性、完整性。數(shù)據(jù)的安全性是防止數(shù)據(jù)庫被破壞和非法的存取;數(shù)據(jù)庫的完整性是防止數(shù)據(jù)庫中存在不符合語義的數(shù)據(jù)。
1.3計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因
①網(wǎng)絡(luò)安全天生脆弱
計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的脆弱性是伴隨計(jì)算機(jī)網(wǎng)絡(luò)一同產(chǎn)生的,換句話說,安全系統(tǒng)脆弱是計(jì)算機(jī)網(wǎng)絡(luò)與生俱來的致命弱點(diǎn)。在網(wǎng)絡(luò)建設(shè)中,網(wǎng)絡(luò)特性決定了不可能無條件、無限制的提高其安全性能。要使網(wǎng)絡(luò)更方便快捷,又要保證網(wǎng)絡(luò)安全,這是一個非常棘手的“兩難選擇”,而網(wǎng)絡(luò)安全只能在“兩難選擇”所允許的范圍中尋找支撐點(diǎn)。可以說世界上任何一個計(jì)算機(jī)網(wǎng)絡(luò)都不是絕對安全的
②黑客攻擊后果嚴(yán)重
近幾年,黑客猖狂肆虐,四面出擊,使交通通訊網(wǎng)絡(luò)中斷,軍事指揮系統(tǒng)失靈,電力供水系統(tǒng)癱瘓,銀行金融系統(tǒng)混亂??危及國家的政治、軍事、經(jīng)濟(jì)的安全與穩(wěn)定,在世界各國造成了難以估量的損失。
③網(wǎng)絡(luò)殺手集團(tuán)化
目前,網(wǎng)絡(luò)殺手除了一般的黑客外,還有一批具有高精尖技術(shù)的“專業(yè)殺手”,更令人擔(dān)憂的是出現(xiàn)了具有集團(tuán)性質(zhì)的“網(wǎng)絡(luò)恐怖分子”甚至政府出面組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”,其規(guī)模化、專業(yè)性和破壞程度都使其他黑客望塵莫及。可以說,由政府組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”是當(dāng)前網(wǎng)絡(luò)安全的最大隱患。目前,美國正開展用無線電方式、衛(wèi)星輻射式注入方式、網(wǎng)絡(luò)方式把病毒植入敵方計(jì)算機(jī)主機(jī)或各類傳感器、網(wǎng)橋中的研究以伺機(jī)破壞敵方的武器系統(tǒng)、指揮控制系統(tǒng)、通信系統(tǒng)等高敏感的網(wǎng)絡(luò)系統(tǒng)。另外,為達(dá)到預(yù)定目的,對出售給潛在敵手的計(jì)算機(jī)芯片進(jìn)行暗中修改,在CPU中設(shè)置“芯片陷阱”,可使美國通過因特網(wǎng)發(fā)布指令讓敵方電腦停止工作,以起到“定時炸彈”的作用。
1.5影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素
①網(wǎng)絡(luò)資源的共享性
資源共享是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的主要目的,但這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞提供了機(jī)會。隨著互聯(lián)網(wǎng)需求的日益增長,外部服務(wù)請求不可能做到完全隔離,攻擊者利用服務(wù)請求的機(jī)會很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。
②網(wǎng)絡(luò)的開放性
網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源,從而很容易獲取到一個企業(yè)、單位以及個人的敏感性信息。
③網(wǎng)絡(luò)操作系統(tǒng)的漏洞
網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實(shí)現(xiàn)的最終載體之一,它不僅
負(fù)責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝,同時還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。由于網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性,決定了操作系統(tǒng)必然存在各種實(shí)現(xiàn)過程所帶來的缺陷和漏洞。
④網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷
網(wǎng)絡(luò)設(shè)計(jì)是指拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會直接帶來安全隱患。合理的網(wǎng)絡(luò)設(shè)計(jì)在節(jié)約資源的情況下,還可以提供較好的安全性。不合理的網(wǎng)絡(luò)設(shè)計(jì)則會成為網(wǎng)絡(luò)的安全威脅。
⑤惡意攻擊
就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒,這是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化,這類攻擊也是越來越多,影響越來越大。
第二章 計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略
計(jì)算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來說,主要由防病毒、防火墻、入侵檢測等多個安全組件組成,任何一個單獨(dú)的組件都無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有:防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測技術(shù)、防病毒技術(shù)等,以下就此幾項(xiàng)技術(shù)分別進(jìn)行分析。2.1防火墻技術(shù)
防火墻
防火墻是汽車中一個部件的名稱。在汽車中,利用防火墻把乘客和引擎隔開,以便汽車引擎一旦著火,防火墻不但能保護(hù)乘客安全,而同時還能讓司機(jī)繼續(xù)控制引擎。在電腦術(shù)語中,當(dāng)然就不是這個意思了,我們可 以類比來理解,在網(wǎng)絡(luò)中,所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法,它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度,它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò),同時將你“不同意”的人和數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說,如果不通過防火墻,公司內(nèi)部的人就無法訪問Internet,Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。
防火墻(FireWall)成為近年來新興的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)性措施。它是一種隔離控制技術(shù),在某個機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)(如Internet)之間設(shè)置屏障,阻止對信息資源的非法訪問,也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。作為Internet網(wǎng)的安全性保護(hù)軟件,F(xiàn)ireWall已經(jīng)得到廣泛的應(yīng)用。通常企業(yè)為了維護(hù)內(nèi)部的信息系統(tǒng)安全,在企業(yè)網(wǎng)和Internet間設(shè)立FireWall軟件。企業(yè)信息系統(tǒng)對于來自Internet的訪問,采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問,也可以接收或拒絕TCP/IP上的某一類具體的應(yīng)用。如果在某一臺IP主機(jī)上有需要禁止的信息或危險的用戶,則可以通過設(shè)置使用FireWall過濾掉從該主機(jī)發(fā)出的包。如果一個企業(yè)只是使用Internet的電子郵件和WWW服務(wù)器向外部提供信息,那么就可以在FireWall上設(shè)置使得只有這兩類應(yīng)用的數(shù)據(jù)包可以通過。這對于路由器來說,就要不僅分析IP層的信息,而且還要進(jìn)一步了解TCP傳輸層甚至應(yīng)用層的信息以進(jìn)行取舍。FireWall一般安裝在路由器 上以保護(hù)一個子網(wǎng),也可以安裝在一臺主機(jī)上,保護(hù)這臺主機(jī)不受侵犯。
為了讓大家更好地使用防火墻,我們從反面列舉4個有代表性的失敗案例。例1:未制定完整的企業(yè)安全策略
網(wǎng)絡(luò)環(huán)境:某中型企業(yè)購買了適合自己網(wǎng)絡(luò)特點(diǎn)的防火墻,剛投入使用后,發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了,企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了,為此,公司領(lǐng)導(dǎo)特意表揚(yáng)了負(fù)責(zé)防火墻安裝實(shí)施的信息部。
該企業(yè)網(wǎng)絡(luò)環(huán)境如圖2.1所示:
圖2.1 該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機(jī)是帶路由模塊的三層交換機(jī),出口通過路由器和ISP連接。內(nèi)部網(wǎng)劃分為5個VLAN,VLAN
1、VLAN 2和VLAN 3分配給不同的部門使用,不同的VLAN之間根據(jù)部門級別設(shè)置訪問權(quán)限;VLAN 4分配給交換機(jī)出口地址和路由器使用;VLAN 5分配給公共服務(wù)器使用。在沒有加入防火墻之前,各個VLAN中的PC機(jī)能夠通過交換機(jī)和路由器不受限制地訪問Internet。加入防火墻后,給防火墻分配一個VLAN 4中的空閑IP地址,并把網(wǎng)關(guān)指向路由器;將VLAN 5接入到防火墻的一個網(wǎng)口上。這樣,防火墻就把整個網(wǎng)絡(luò)分為3個區(qū)域: 內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng),三者之間的通信受到防火墻安全規(guī)則的限制。
問題描述:防火墻投入運(yùn)行后,實(shí)施了一套較為嚴(yán)格的安全規(guī)則,導(dǎo)致公司員工無法使用QQ聊天軟件,于是沒過多久就有員工自己撥號上網(wǎng),導(dǎo)致感染了特洛依木馬和蠕蟲等病毒,并立刻在公司內(nèi)部局域網(wǎng)中傳播開來,造成內(nèi)部網(wǎng)大面積癱瘓。
問題分析:我們知道,防火墻作為一種保護(hù)網(wǎng)絡(luò)安全的設(shè)備,必須部署在受保護(hù)網(wǎng)絡(luò)的邊界處,只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信,達(dá)到將入侵者拒之門外的目的。如果被保護(hù)網(wǎng)絡(luò)的邊界不惟一,有很多出入口,那么只部署一臺防火墻是不夠的。在本案例中,防火墻投入使用后,沒有禁止私自撥號上網(wǎng)行為,使得許多PC機(jī)通過電話線和Internet相連,導(dǎo)致網(wǎng)絡(luò)邊界不惟一,入侵者可以通過攻擊這些PC機(jī)然后進(jìn)一步攻擊內(nèi)部網(wǎng)絡(luò),從而成功地避開了防火墻。
解決辦法:根據(jù)自己企業(yè)網(wǎng)的特點(diǎn),制定一整套安全策略,并徹底地貫徹實(shí)施。比如說,制定一套安全管理規(guī)章制度,嚴(yán)禁員工私自撥號上網(wǎng);同時封掉撥號上網(wǎng)的電話號碼,并購買檢測撥號上網(wǎng)的軟件,這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不惟一的情況發(fā)生。另外,考慮到企業(yè)員工的需求,可以在防火墻上添加按照時間段生效的安全規(guī)則,在非工作時間打開QQ使用的TCP/UDP端口,使得企業(yè)員工可以在工余時間使用QQ聊天軟件。
例2:未考慮與其他安全產(chǎn)品的配合使用
問題描述:某公司購買了防火墻后,緊接著又購買了漏洞掃描和IDS(入侵檢測系統(tǒng))產(chǎn)品。當(dāng)系統(tǒng)管理員利用IDS發(fā)現(xiàn)入侵行為后,必須每次都要手工調(diào)
整防火墻安全策略,使管理員工作量劇增,而且經(jīng)常調(diào)整安全策略,也給整個網(wǎng)絡(luò)帶來不良影響。
問題分析:選購防火墻時未充分考慮到與其他安全產(chǎn)品如IDS的聯(lián)動功能,導(dǎo)致不能最大程度地發(fā)揮安全系統(tǒng)的作用。
解決辦法:購買防火墻前應(yīng)查看企業(yè)網(wǎng)是否安裝了漏洞掃描或IDS等其他安全產(chǎn)品,以及具體產(chǎn)品名稱和型號,然后確定所要購買的防火墻是否有聯(lián)動功能(即是否支持其他安全產(chǎn)品,尤其是IDS產(chǎn)品),支持的是哪些品牌和型號的產(chǎn)品,是否與已有的安全產(chǎn)品名稱相符,如果不符,最好不要選用,而選擇能同已有安全產(chǎn)品聯(lián)動的防火墻。這樣,當(dāng)IDS發(fā)現(xiàn)入侵行為后,在通知管理員的同時發(fā)送消息給防火墻,由防火墻自動添加相關(guān)規(guī)則,把入侵者拒之門外。
例3:未經(jīng)常維護(hù)升級防火墻 問題描述:某政府機(jī)構(gòu)購置防火墻后已安全運(yùn)行一年多,由于該機(jī)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)一直很穩(wěn)定,沒有什么變化,各種應(yīng)用也運(yùn)行穩(wěn)定,因此管理員逐漸放松了對防火墻的管理,只要網(wǎng)絡(luò)一直保持暢通即可,不再關(guān)心防火墻的規(guī)則是否需要調(diào)整,軟件是否需要升級。而且由于該機(jī)構(gòu)處于政府專網(wǎng)內(nèi),與Internet物理隔離,防火墻無法實(shí)現(xiàn)在線升級。因此該機(jī)構(gòu)的防火墻軟件版本一直還是購買時的舊版本,雖然管理員一直都收到防火墻廠家通過電子郵件發(fā)來的軟件升級包,但從未手工升級過。在一次全球范圍的蠕蟲病毒迅速蔓延事件中,政府專網(wǎng)也受到蠕蟲病毒的感染,該機(jī)構(gòu)防火墻因?yàn)闆]有及時升級,無法抵御這種蠕蟲病毒的攻擊,造成整個機(jī)構(gòu)的內(nèi)部網(wǎng)大面積受感染,網(wǎng)絡(luò)陷于癱瘓之中。
問題分析:安全與入侵永遠(yuǎn)是一對矛盾。防火墻軟件作為一種安全工具,必須不斷地升級與更新才能應(yīng)付不斷發(fā)展的入侵手段,過時的防護(hù)盾牌是無法抵擋最先進(jìn)的長矛的。作為安全管理員來說,應(yīng)當(dāng)時刻留心廠家發(fā)布的升級包,及時給防火墻打上最新的補(bǔ)丁。
解決辦法:及時維護(hù)防火墻,當(dāng)本機(jī)構(gòu)發(fā)生人員變動、網(wǎng)絡(luò)調(diào)整和應(yīng)用變化時,要及時調(diào)整防火墻的安全規(guī)則,及時升級防火墻。
從以上三個案例我們可以得出一些結(jié)論:防火墻只是保證安全的一種技術(shù)手段,要想真正實(shí)現(xiàn)安全,安全策略是核心問題。保護(hù)網(wǎng)絡(luò)安全不僅僅是防火墻一種產(chǎn)品,只有將多種安全產(chǎn)品無縫地結(jié)合起來,充分利用它們各自的優(yōu)點(diǎn),才能最大限度地保證網(wǎng)絡(luò)安全。而保護(hù)網(wǎng)絡(luò)安全是動態(tài)的過程,防火墻需要積極地維護(hù)和升級。
2.2 數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)
與防火墻相比,數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活,更加適用于開放的網(wǎng)絡(luò)。用戶授權(quán)訪問控制主要用于對靜態(tài)信息的保護(hù),需要系統(tǒng)級別的支持,一般在操作系統(tǒng)中實(shí)現(xiàn)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護(hù)。對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實(shí)現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密實(shí)質(zhì)上是對以符號為基礎(chǔ)的數(shù)據(jù)進(jìn)行移位和置換的變換算法,這種變換是對稱密鑰算法”。這樣的密鑰必須秘密保管,只能為授權(quán)用戶所知,授權(quán)用戶既可以用該密鑰加密信急,也可以用該密鑰解密信息,DES是對稱加密算法中最具代表性的算法。在公鑰加密算法中,公鑰是公開的,任何人可以用公鑰加密信息,再將密文發(fā)送給私鑰擁有者。私鑰是保密的,用于解密其接收的公鑰加密過的信息【5】。典型的公鑰加密算法~nRSA是目前使用比較廣泛的加密算法
2.3 入侵檢測技術(shù)
入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息,再通過此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。IDS被認(rèn)為是防火墻之后的第二道安全閘門,它能使在入侵攻擊對系統(tǒng)發(fā)生危害前,檢測到入侵攻擊,并利用報警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊:在入侵攻擊過程中,能減少入侵攻擊所造成的損失;在被入侵攻擊后,收集入侵攻擊的相關(guān)信息,作為防范系統(tǒng)的知識,添加入策略集中,增強(qiáng)系統(tǒng)的防范能力,避免系統(tǒng)再次受到同類型的入侵【6】。
入侵檢測的作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持。入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測技術(shù)的功能主要體現(xiàn)在以下方面: 1)分析用戶及系統(tǒng)活動,查找非法用戶和合法用戶的越權(quán)操作; 2)檢測系統(tǒng)配置的正確性和安全漏洞,并提示管理員修補(bǔ)漏洞; 3)識別反映已知進(jìn)攻的活動模式并向相關(guān)人上報警; 4)對異常行為模式的統(tǒng)計(jì)分析;
5)能夠?qū)崟r地對檢測到的入侵行為進(jìn)行反應(yīng); 6)評估重要系統(tǒng)和數(shù)據(jù)文件的完整性; 7)可以發(fā)現(xiàn)新的攻擊模式; 入侵檢測方法
方法有很多,如基于專家系統(tǒng)入侵檢測方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測方法等。目前一些入侵檢測系統(tǒng)在應(yīng)用層入侵檢測中已有實(shí)現(xiàn)
1.監(jiān)視、分析用戶及系統(tǒng)活動;
2.系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì);
3.識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報警;
4.異常行為模式的統(tǒng)計(jì)分析;
5.評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;
6.操作系統(tǒng)的審計(jì)跟蹤管理,并識別用戶違反安全策略的行為。
入侵檢測技術(shù)同樣存在問題
1.現(xiàn)有的入侵檢測系統(tǒng)檢測速度遠(yuǎn)小于網(wǎng)絡(luò)傳輸速度, 導(dǎo)致誤報率和漏報率
2.入侵檢測產(chǎn)品和其它網(wǎng)絡(luò)安全產(chǎn)品結(jié)合問題, 即期間的信息交換,共同協(xié)作發(fā)現(xiàn)攻擊并阻擊攻擊
3.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)對加密的數(shù)據(jù)流及交換網(wǎng)絡(luò)下的數(shù)據(jù)流不能進(jìn)行檢測, 并且其本身構(gòu)建易受攻擊
4.入侵檢測系統(tǒng)體系結(jié)構(gòu)問題
2.4 防病毒技術(shù)
計(jì)算機(jī)病毒的預(yù)防技術(shù)就是通過一定的技術(shù)手段防止計(jì)算機(jī)病毒對系統(tǒng)的傳染和
破壞。實(shí)際上這是一種動態(tài)判定技術(shù),即一種行為規(guī)則判定技術(shù)。也就是說,計(jì)算機(jī)病毒的預(yù)防是采用對病毒的規(guī)則進(jìn)行分類處理,而后在程序運(yùn)作中凡有類似的規(guī)則出現(xiàn)則認(rèn)定是計(jì)算機(jī)病毒。具體來說,計(jì)算機(jī)病毒的預(yù)防是通過阻止計(jì)算機(jī)病毒進(jìn)入系統(tǒng)內(nèi)存或阻止計(jì)算機(jī)病毒對磁盤的操作,尤其是寫操作。
預(yù)防病毒技術(shù)包括:磁盤引導(dǎo)區(qū)保護(hù)、加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。例如,大家所熟悉的防病毒卡,其主要功能是對磁盤提供寫保護(hù),監(jiān)視在計(jì)算機(jī)和驅(qū)動器之間產(chǎn)生的信號。以及可能造成危害的寫命令,并且判斷磁盤當(dāng)前所處的狀態(tài):哪一個磁盤將要進(jìn)行寫操作,是否正在進(jìn)行寫操作,磁盤是否處于寫保護(hù)等,來確定病毒是否將要發(fā)作。計(jì)算機(jī)病毒的預(yù)防應(yīng)用包括對已知病毒的預(yù)防和對未知病毒的預(yù)防兩個部分。目前,對已知病毒的預(yù)防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù),而對未知病毒的預(yù)防則是一種行為規(guī)則的判定技術(shù),即動態(tài)判定技術(shù)。
一、計(jì)算機(jī)病毒的預(yù)防技術(shù)
計(jì)算機(jī)病毒的預(yù)防技術(shù)就是通過一定的技術(shù)手段防止計(jì)算機(jī)病毒對系統(tǒng)的傳染和破壞。實(shí)際上這是一種動態(tài)判定技術(shù),即一種行為規(guī)則判定技術(shù)。也就是說,計(jì)算機(jī)病毒的預(yù)防是采用對病毒的規(guī)則進(jìn)行分類處理,而后在程序運(yùn)作中凡有類似的規(guī)則出現(xiàn)則認(rèn)定是計(jì)算機(jī)病毒。具體來說,計(jì)算機(jī)病毒的預(yù)防是通過阻止計(jì)算機(jī)病毒進(jìn)入系統(tǒng)內(nèi)存或阻止計(jì)算機(jī)病毒對磁盤的操作,尤其是寫操作。
預(yù)防病毒技術(shù)包括:磁盤引導(dǎo)區(qū)保護(hù)、加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。例如,大家所熟悉的防病毒卡,其主要功能是對磁盤提供寫保護(hù),監(jiān)視在計(jì)算機(jī)和驅(qū)動器之間產(chǎn)生的信號。以及可能造成危害的寫命令,并且判斷磁盤當(dāng)前所處的狀態(tài):哪一個磁盤將要進(jìn)行寫操作,是否正在進(jìn)行寫操作,磁盤是否處于寫保護(hù)等,來確定病毒是否將要發(fā)作。計(jì)算機(jī)病毒的預(yù)防應(yīng)用包括對已知病毒的預(yù)防和對未知病毒的預(yù)防兩個部分。目前,對已知病毒的預(yù)防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù),而對未知病毒的預(yù)防則是一種行為規(guī)則的判定技術(shù),即動態(tài)判定技術(shù)。
二、檢測病毒技術(shù)
計(jì)算機(jī)病毒的檢測技術(shù)是指通過一定的技術(shù)手段判定出特定計(jì)算機(jī)病毒的一種技術(shù)。它有兩種:一種是根據(jù)計(jì)算機(jī)病毒的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長度的變化,在特征分類的基礎(chǔ)上建立的病毒檢測技術(shù)。另一種是不針對具體病毒程序的自身校驗(yàn)技術(shù)。即對某個文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)和計(jì)算并保存其結(jié)果,以后定期或不定期地以保存的結(jié)果對該文件或數(shù)據(jù)段進(jìn)行檢驗(yàn),若出現(xiàn)差異,即表示該文件或數(shù)據(jù)段完整性已遭到破壞,感染上了病毒,從而檢測到病毒的存在。
三、清除病毒技術(shù)
計(jì)算機(jī)病毒的清除技術(shù)是計(jì)算機(jī)病毒檢測技術(shù)發(fā)展的必然結(jié)果,是計(jì)算機(jī)病毒傳染程序的一種逆過程。目前,清除病毒大都是在某種病毒出現(xiàn)后,通過對其進(jìn)行分析研究而研制出來的具有相應(yīng)解毒功能的軟件。這類軟件技術(shù)發(fā)展往往是被動的,帶有滯后性。而且由于計(jì)算機(jī)軟件所要求的精確性,解毒軟件有其局限性,對有些變種病毒的清除無能為力。目前市場上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV,及我國的LANClear和Kill89等產(chǎn)品均采用上述三種防病毒技術(shù)
2.4.1 對付病毒有以下四種基本方法
1、基于網(wǎng)絡(luò)目錄和文件安全性方法
以NetWare為例,在NetWare中,提供了目錄和文件訪問權(quán)限與屬性兩種安全性措施。“訪問權(quán)限有:防問控制權(quán)、建立權(quán)、刪除權(quán)、文件掃描權(quán)、修改權(quán)、讀權(quán)、寫權(quán)和管理權(quán)。屬性有:需歸檔、拷貝禁止、刪除禁止、僅執(zhí)行、隱含、索引、清洗、讀審記、寫審記、只讀、讀寫、改名禁止、可共享、系統(tǒng)和交易。屬性優(yōu)先于訪問權(quán)限。根據(jù)用戶對目錄和文件的操作能力,分配不同的訪問權(quán)限和屬性。例如,對于公用目錄中的系統(tǒng)文件和工具軟件,應(yīng)該只設(shè)置只讀屬性,系統(tǒng)程序所在的目錄不要授予修改權(quán)和管理權(quán)。這樣,病毒就無法對系統(tǒng)程序?qū)嵤└腥竞图纳渌脩粢簿筒粫腥静《尽?/p>
由此可見,網(wǎng)絡(luò)上公用目錄或共享目錄的安全性措施,對于防止病毒在網(wǎng)上傳播起到積極作用。至于網(wǎng)絡(luò)用戶的私人目錄,由于其限于個別使用,病毒很難傳播給其它用戶。采用基于網(wǎng)絡(luò)目錄和文件安全性的方法對防止病毒起到了一定作用,但是這種方法畢竟是基于網(wǎng)絡(luò)操作系統(tǒng)的安全性的設(shè)計(jì),存在著局限性。現(xiàn)在市場上還沒有一種能夠完全抵御計(jì)算機(jī)病毒侵染的網(wǎng)絡(luò)操作系統(tǒng),從網(wǎng)絡(luò)安全性措施角度來看,在網(wǎng)絡(luò)上也是無法防止帶毒文件的入侵。
2、采用工作站防病毒芯片
這種方法是將防病毒功能集成在一個芯片上,安裝在網(wǎng)絡(luò)工作站上,以便經(jīng)常性地保護(hù)工作站及其通往服務(wù)器的路徑。工作站是網(wǎng)絡(luò)的門戶,只要將這扇門戶關(guān)好,就能有效地防止病毒的入侵。將工作站存取控制與病毒保護(hù)能力合二為一插在網(wǎng)卡的EPROM槽內(nèi),用戶也可以免除許多繁瑣的管理工作。
Trend Micro Devices公司解決的辦法是基于網(wǎng)絡(luò)上每個工作站都要求安裝網(wǎng)絡(luò)接口卡網(wǎng)絡(luò)接口卡上有一個Boot Rom芯片,因?yàn)槎鄶?shù)網(wǎng)卡的Boot Rom并沒有充分利用,都會剩余一些使用空間,所以如果安全程序夠小的話,就可以把它安裝在網(wǎng)絡(luò)的Boot Rom的剩余空間內(nèi),而不必另插一塊芯片。
市場上Chipway防病毒芯片就是采用了這種網(wǎng)絡(luò)防病毒技術(shù)。在工作站DOS引導(dǎo)過程中,ROMBIOS,Extended BIOS裝入后,Partition Table裝入之前,Chipway獲得控制權(quán),這樣可以防止引導(dǎo)型病毒。Chipway的特點(diǎn)是:①不占主板插槽,避免了沖突;②遵循網(wǎng)絡(luò)上國際標(biāo)準(zhǔn),兼容性好;③具有他工作站防毒產(chǎn)品的優(yōu)點(diǎn)。但目前,Chipway對防止網(wǎng)絡(luò)上廣為傳播的文件型病毒能力還十分有限。
3、采用Station Lock網(wǎng)絡(luò)防毒方法
Station Lock是著名防病毒產(chǎn)品開發(fā)商Trend Micro Devices公司的新一代網(wǎng)絡(luò)防病毒產(chǎn)品。其防毒概念是建立在”病毒必須執(zhí)行有限數(shù)量的程序之后,才會產(chǎn)生感染效力“的基礎(chǔ)之上。例如,病毒是一個不具自我辨別能力的小程序,在病毒傳染過程中至少必須攔截一個DOS中斷請求,而且必須試圖改變程序指針,以便讓系統(tǒng)優(yōu)先執(zhí)行病毒程序從而獲得系統(tǒng)控制權(quán)。引導(dǎo)型病毒必須使用系統(tǒng)的BIOS功能調(diào)用,文件型病毒必須將自己所有的程序代碼拷貝到另一個系統(tǒng)執(zhí)行文件時才能復(fù)制感染。混合型病毒和多形體病毒在實(shí)施感染之前也必須獲取系統(tǒng)控制權(quán),才能運(yùn)行病毒體程序而實(shí)施感染。Station Lock就是通過這些特點(diǎn),用間接方法觀察,精確地預(yù)測病毒的攻擊行為。其作用對象包括多型體病毒和未來型病毒。
Station Lock也能處理一些基本的網(wǎng)絡(luò)安全性問題,例如存取控制、預(yù)放未授權(quán)拷貝以及在一個點(diǎn)對點(diǎn)網(wǎng)絡(luò)環(huán)境下限制工作站資源相互存取等。Station Lock能根據(jù)病毒活動辯別可能的病毒攻擊意圖,并在它造成任
何破壞之前予以攔截。由于Station Lock是在啟動系統(tǒng)開始之前,就接管了工作站上的硬件和軟件,所以病毒攻擊Station Lock是很困難的。Station Lock是目前網(wǎng)絡(luò)環(huán)境下防治病毒比較有效的方法。
4、基于服務(wù)器的防毒技術(shù)
服務(wù)器是網(wǎng)絡(luò)的核心,一旦服務(wù)器被病毒感染,就會使服務(wù)器無法啟動,整個網(wǎng)絡(luò)陷于癱瘓,造成災(zāi)難性后果。目前基于服務(wù)器的防治病毒方法大都采用了NLM(NetWare Load Module)技術(shù)以NLM模塊方式進(jìn)行程序設(shè)計(jì),以服務(wù)器為基礎(chǔ),提供實(shí)時掃描病毒能力。市場上的產(chǎn)品如Central Point公司的AntiVirus for Networks,Intel公司的LANdesk Virus Protect以及南京威爾德電腦公司的Lanclear for NetWare等都是采用了以服務(wù)器為基礎(chǔ)的防病毒技術(shù)。這些產(chǎn)品的目的都是保護(hù)服務(wù)器,使服務(wù)器不被感染。這樣,病毒也就失去了傳播途徑,因而從根本上杜絕了病毒在網(wǎng)上蔓延。
(1)對服務(wù)器中所有文件掃描
這一方法是對服務(wù)器的所有文件進(jìn)行集中檢查看其是否帶毒,若有帶毒文件,則提供給網(wǎng)絡(luò)管理員幾種處理方法。允許用戶清除病毒,或刪除帶毒文件,或更改帶毒文件名成為不可執(zhí)行文件名并隔離到一個特定的病毒文件目錄中。
(2)實(shí)時在線掃描
網(wǎng)絡(luò)防病毒技術(shù)必須保持全天24小時監(jiān)控網(wǎng)絡(luò)是否有帶毒文件進(jìn)入服務(wù)器。為了保證病毒監(jiān)測實(shí)時性,通常采用多線索的設(shè)計(jì)方法,讓檢測程序作為一個隨時可以激活的功能模塊,且在NetWare運(yùn)行環(huán)境中,不影響其它線索的運(yùn)行。這往往是設(shè)計(jì)一個NLM最重要的部分,即多線索的調(diào)度。實(shí)時在線掃描能非常及時地追蹤病毒的活動,及時告之網(wǎng)絡(luò)管理員和工作站用戶。
(3)掃描選擇
該功能允許網(wǎng)絡(luò)管理員定期檢查服務(wù)器中是否帶毒,例如可按每月、每星期、每天集中掃描一下網(wǎng)絡(luò)服務(wù)器,這樣就使網(wǎng)絡(luò)用戶擁有極大的操作選擇余地。
(4)自動報告功能及病毒存檔
當(dāng)網(wǎng)絡(luò)用戶將帶毒文件有意或無意地拷入服務(wù)器中時,網(wǎng)絡(luò)防病毒系統(tǒng)必須立即通知網(wǎng)絡(luò)管理員,或涉嫌病毒的使用者,同時自己記入病毒檔案。病毒檔案一般包括:病毒類型、病毒名稱、帶毒文件所存的目錄及工作站標(biāo)識等,另外,記錄對病毒文件處理方法。
(5)工作站掃描
基于服務(wù)器的防病毒軟件不能保護(hù)本地工作站的硬盤,有效的方法是在服務(wù)器上安裝防毒軟件,同時在上網(wǎng)的工作站內(nèi)存中調(diào)入一個常駐掃毒程序,實(shí)時檢測在工作站中運(yùn)行的程序。如LANdesk Virus Protect采用Lpscan,而LANClear for NetWare采用world程序等。
(6)對用戶開放的病毒特征接口
大家知道病毒及其變種層出不窮。據(jù)有關(guān)資料報道,截止1994年2月25日,全世界流傳的MSDOS病毒達(dá)2700多種。如何使防病毒系統(tǒng)能對付不斷出現(xiàn)的新病毒?這要求開發(fā)商能夠使自己的產(chǎn)品具有自動升級功能,也就是真正交給網(wǎng)絡(luò)
用戶防治病毒的一把金鑰匙。其典型的做法是開放病毒特征數(shù)據(jù)庫。用戶隨時將遇到的帶毒文件,經(jīng)過病毒特征分析程序,自動將病毒特征加入特征庫,以隨時增強(qiáng)抗毒能力。當(dāng)然這一工作難度極大,需要不懈的努力。在上述四種網(wǎng)絡(luò)防毒技術(shù)中,Station Lock是一種針對病毒行為的防治方法,StationLock目前已能提供Intel以太網(wǎng)絡(luò)接口卡支持,而且未來還將支持各種普及型的以太令牌環(huán)(Token-Ring)網(wǎng)絡(luò)接口卡。基于服務(wù)器的防治病毒方法,表現(xiàn)在可以集中式掃毒,能實(shí)現(xiàn)實(shí)時掃描功能,軟件升級方便。特別是當(dāng)連網(wǎng)的機(jī)器很多時,利用這種方法比為每臺工作站都安裝防病毒產(chǎn)品要節(jié)省成本。其代表性的產(chǎn)品有LANdesk、LANClear for NetWare等。
2.5 安全管理隊(duì)伍的建設(shè)
在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中,絕對的安全是不存在的,制定健全的安全管理體制是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保證,只有通過網(wǎng)絡(luò)管理人員與使用人員的共同努力,運(yùn)用一切可以使用的工具和技術(shù),盡一切可能去控制、減小一切非法的行為,盡可能地把不安全的因素降到最低。同時,要不斷地加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全規(guī)范化管理力度,大力加強(qiáng)安全技術(shù)建設(shè),強(qiáng)化使用人員和管理人員的安全防范意識。網(wǎng)絡(luò)內(nèi)使用的IP地址作為一種資源以前一直為某些管理人員所忽略,為了更好地進(jìn)行安全管理工作,應(yīng)該對本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對于盜用IP資源的用戶必須依據(jù)管理制度嚴(yán)肅處理。只有共同努力,才能使計(jì)算機(jī)網(wǎng)絡(luò)的安全可靠得到保障,從而使廣大網(wǎng)絡(luò)用戶的利益得到保障。
第三章 防火墻技術(shù)
3.1 防火墻的定義
防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)網(wǎng)絡(luò)的安全政策控制(允許拒絕監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
Internet防火墻是一個或一組系統(tǒng),它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性,用于加強(qiáng)網(wǎng)絡(luò)間的訪問控制,防止外部用戶非法使用內(nèi)部網(wǎng)的資源,保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞,防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取,防火墻系統(tǒng)還決定了哪些內(nèi)部服務(wù)可以被外界訪問,外界的哪些人可以訪問內(nèi)部的服務(wù),以及哪些外部服務(wù)何時可以被內(nèi)部人員訪問。要使一個防火墻有效,所有來自和去往Internet的信息都必須經(jīng)過防火墻并接受檢查。防火墻必須只允許授權(quán)的數(shù)據(jù)通過,并且防火墻本身也必須能夠免于滲透。但是,防火墻系統(tǒng)一旦被攻擊突破或迂回繞過,就不能提供任何保護(hù)了。3.2防火墻的功能
3.2.1 防火墻是網(wǎng)絡(luò)安全的屏障
防火墻(作為阻塞點(diǎn),控制點(diǎn))能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。
防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略,通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令加密身份認(rèn)證審計(jì)等)配置在防火墻上,對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì):所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù),當(dāng)發(fā)生可疑動作時,防火墻能進(jìn)行適當(dāng)?shù)膱缶?并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。防止內(nèi)部信息的外泄,通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。3.2.2防火墻的種類
防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同,總體來講可分為二大類:分組過濾,應(yīng)用代理。
分組過濾(Packetfiltering);作用在網(wǎng)絡(luò)層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號,協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。
應(yīng)用代理(ApplicationProxy):也叫應(yīng)用網(wǎng)關(guān)(ApplicationGateway), 它作用在應(yīng)用層,其特點(diǎn)是完全 “ 阻隔 ” 了網(wǎng)絡(luò)通信流通過對每種應(yīng)用服務(wù)編制專門的代理程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用,實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)【8】。
3.3 防火墻的技術(shù)原理
目前,防火墻系統(tǒng)的工作原理因?qū)崿F(xiàn)技術(shù)不同,大致可分為三種:(1)包過濾技術(shù)
包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。根據(jù)設(shè) 置好的過濾規(guī)則,通
過檢查IP數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定的IP地址會被防火墻過濾掉,由此保證網(wǎng)絡(luò)系統(tǒng)的安全。該技術(shù)通常可以過濾基于某些或所有下列信息組的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過濾技術(shù)實(shí)際上是一種基于路由器的技術(shù),其最大優(yōu)點(diǎn)就是價格便宜,實(shí)現(xiàn)邏輯簡單便于安裝和使用。
缺點(diǎn):1)過濾規(guī)則難以配置和測試。2)包過濾只訪問網(wǎng)絡(luò)層和傳輸層的信息,訪問信息有限,對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。3)對一些協(xié)議,如UDP和RPC難以有效的過濾。
(2)代理技術(shù)
代理技術(shù)是與包過濾技術(shù)完全不同的另一種防火墻技術(shù)。其主要思想就是在兩個網(wǎng)絡(luò)之間設(shè)置一個“中間檢查站”,兩邊的網(wǎng)絡(luò)應(yīng)用可以通過這個檢查站相互通信,但是它們之間不能越過它直接通信。這個“中間檢查站”就是代理服務(wù)器,它運(yùn)行在兩個網(wǎng)絡(luò)之間,對網(wǎng)絡(luò)之間的每一個請求進(jìn)行檢查。當(dāng)代理服務(wù)器接收到用戶請求后,會檢查用戶請求合法性。若合法,則把請求轉(zhuǎn)發(fā)到真實(shí)的服務(wù)器上,并將答復(fù)再轉(zhuǎn)發(fā)給用戶。代理服務(wù)器是針對某種應(yīng)用服務(wù)而寫的,工作在應(yīng)用層。
優(yōu)點(diǎn):它將內(nèi)部用戶和外界隔離開來,使得從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。與包過濾技術(shù)相比,代理技術(shù)是一種更安全的技術(shù)【9】。
缺點(diǎn):在應(yīng)用支持方面存在不足,執(zhí)行速度較慢。(3)狀態(tài)監(jiān)視技術(shù) 這是第三代防火墻技術(shù),集成了前兩者的優(yōu)點(diǎn)。能對網(wǎng)絡(luò)通信的各層實(shí)行檢測。同包過濾技術(shù)一樣,它能夠檢測通過IP地址、端口號以及TCP標(biāo)記,過濾進(jìn)出的數(shù)據(jù)包。它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接,不依靠與應(yīng)用層有關(guān)的代理,而是依靠某種算法來識別進(jìn)出的應(yīng)用層數(shù)據(jù),這些算法通過己知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包,這樣從理論上就能比應(yīng)用級代理在過濾數(shù)據(jù)包上更有效。
狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應(yīng)用程序,可方便地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。此外,它還可監(jiān)測RPC和UDP端口信息,而包過濾和代理都不支持此類端口。這樣,通過對各層進(jìn)行監(jiān)測,狀態(tài)監(jiān)視器實(shí)現(xiàn)網(wǎng)絡(luò)安全的目的。目前,多使用狀態(tài)監(jiān)測防火墻,它對用戶透明,在OSI最高層上加密數(shù)據(jù),而無需修改客戶端程序,也無需對每個需在防火墻上運(yùn)行的服務(wù)額外增加一個代理。
要想建立一個真正行之有效的安全的計(jì)算機(jī)網(wǎng)絡(luò),僅使用防火墻還是不夠,在實(shí)際的應(yīng)用中,防火墻常與其它安全措施,比如加密技術(shù)、防病毒技術(shù)等綜合應(yīng)用,才起到防御的最大化的效果。3.4 防火墻的應(yīng)用
3.4.1 個人防火墻的應(yīng)用 瑞星個人防火墻的應(yīng)用 1)安裝
第一步啟動安裝程序。
當(dāng)把瑞星個人防火墻下載版安裝程序保存到您電腦中的指定目錄后,找到該目錄,雙擊運(yùn)行安裝程序,就可以進(jìn)行瑞星個人防火墻下載版的安裝了。
第二步完成安裝后,如圖3.1:
圖3.1 第三步輸入產(chǎn)品序列號和用戶ID。
啟動個人防火墻,當(dāng)出現(xiàn)如圖3.2下所示的窗口后,在相應(yīng)位置輸入您購買獲得的產(chǎn)品序列號和用戶ID,點(diǎn)擊“確定”,通過驗(yàn)證后則會提示“您的瑞星個人防火墻現(xiàn)在可以正常使用”。
圖3.2 常見問題:不輸入產(chǎn)品序列號和用戶ID,產(chǎn)品將無法升級,防火墻保護(hù)功能將全部失效,您的計(jì)算機(jī)將無法抵御黑客攻擊。
2)升級
第一步網(wǎng)絡(luò)配置:
?打開防火墻主程序
?在菜單中依次選擇【設(shè)置】/【設(shè)置網(wǎng)絡(luò)】,打開【網(wǎng)絡(luò)設(shè)置】窗口,如圖3.3
圖3.3 1。設(shè)定網(wǎng)絡(luò)連接方式,如果設(shè)定“通過代理服務(wù)器訪問網(wǎng)絡(luò)”,還需要輸入代理服務(wù)器IP、端口、身份驗(yàn)證信息。
2。您可以選中【使用安全升級模式】,確保升級期間阻止新的網(wǎng)絡(luò)連接 3。點(diǎn)擊【確定】按鈕完成設(shè)置
小提示:
1。如果您已經(jīng)可以瀏覽網(wǎng)頁,說明網(wǎng)絡(luò)設(shè)置已經(jīng)配置好了,這里直接使用默認(rèn)設(shè)置即可。
2。如果您不使用撥號方式上網(wǎng),將不會看到界面中【使用撥號網(wǎng)絡(luò)連接】的選項(xiàng)以及相關(guān)設(shè)置。
3。請確保此步設(shè)置正確,否則可能無法完成智能升級。
第二步:智能升級
完成網(wǎng)絡(luò)配置后,進(jìn)行智能升級的操作方法:
方法一:點(diǎn)擊主界面右側(cè)的【智能升級】按鈕,圖3.4示:
圖3.4 方法二:在菜單中依次選擇【操作】/【智能升級】
方法三:右鍵點(diǎn)擊防火墻托盤圖標(biāo),在彈出菜單中選擇【啟動智能升級】 3)啟動瑞星個人防火墻下載版程序
啟動瑞星個人防火墻軟件主程序有三種方法:
方法一:進(jìn)入【開始】/【所有程序】/【瑞星個人防火墻】,選擇【瑞星個人防火墻】即可啟動。
方法二:用鼠標(biāo)雙擊桌面上的【瑞星個人防火墻】快捷圖標(biāo)即可啟動。方法三:用鼠標(biāo)單擊任務(wù)欄“快速啟動”上的【瑞星個人防火墻】快捷圖標(biāo)
即可啟動。
成功啟動程序后的界面如下圖3.5所示:
圖3.5 主要界面元素
1、菜單欄:
用于進(jìn)行菜單操作的窗口,包括【操作】、【設(shè)置】、【幫助】三個菜單。如圖3.6示:
圖3.6
2、操作按鈕:
位于主界面右側(cè),包括【啟動/停止保護(hù)】、【連接/斷開網(wǎng)絡(luò)】、【智能升級】、【查看日志】。如圖3。7示:
圖3.7 功能:停止防火墻的保護(hù)功能,執(zhí)行此功能后,您計(jì)算機(jī)將不再受瑞星防火墻的保護(hù)已處于停止保護(hù)狀態(tài)時,此按鈕將變?yōu)椤締⒂帽Wo(hù)】;點(diǎn)擊將重新啟用防火墻的保護(hù)功能,您也可以通過菜單項(xiàng)【操作】/【停止保護(hù)】來執(zhí)行此功能;將您的計(jì)算機(jī)完全與網(wǎng)絡(luò)斷開,就如同拔掉網(wǎng)線或是關(guān)掉Modem一樣。其他人都不能訪問您的計(jì)算機(jī),但是您也不能再訪問網(wǎng)絡(luò)。這是在遇到頻繁攻擊時最為有效的應(yīng)對方法;已經(jīng)斷開網(wǎng)絡(luò)后,此項(xiàng)將變?yōu)椤具B接網(wǎng)絡(luò)】,點(diǎn)擊將恢復(fù)網(wǎng)絡(luò)連接;您也可以通過菜單項(xiàng)【操作】/【斷開網(wǎng)絡(luò)】來執(zhí)行此功能;啟動智能升級程序?qū)Ψ阑饓M(jìn)行升級更新;您也可以通過菜單項(xiàng)【操作】/【智能升級】來執(zhí)行此功能;啟動日志顯示程序;您也可能通過【操作】/【顯示日志】來執(zhí)行此
功能。
3、標(biāo)簽頁:
位于主界面上部,分【工作狀態(tài)】、【系統(tǒng)狀態(tài)】、【游戲保護(hù)】、【安全資訊】、【漏洞掃描】、【啟動選項(xiàng)】六個標(biāo)簽。如圖3。8示:
圖3。8
4、安全級別:
位于主界面右下角,拖動滑塊到對應(yīng)的安全級別,修改立即生效。
5、當(dāng)前版本及更新日期:
位于主界面右上角,顯示防火墻當(dāng)前版本及更新日期。
6、規(guī)則設(shè)置
配置防火墻的過濾規(guī)則(如圖3。9),包括: 黑名單:在黑名單中的計(jì)算機(jī)禁止與本機(jī)通訊
白名單:在白名單中的計(jì)算機(jī)對本地具有完全的訪問權(quán)限
端口開關(guān):允許或禁止端口中的通訊,可簡單開關(guān)本機(jī)與遠(yuǎn)程的端口 可信區(qū):通過可信區(qū)的設(shè)置,可以把局域網(wǎng)和互聯(lián)網(wǎng)區(qū)分對待 IP規(guī)則:在IP層過濾的規(guī)則
訪問規(guī)則:本機(jī)中訪問網(wǎng)絡(luò)的程序的過濾規(guī)則
圖3。9 3.4.2 防火墻技術(shù)在校園網(wǎng)中應(yīng)用
一、安裝防火墻
防火墻技術(shù)在校園網(wǎng)安全建設(shè)中得到廣泛的應(yīng)用。由于防火墻是一種按某種規(guī)則對專網(wǎng)和互聯(lián)網(wǎng),或?qū)ヂ?lián)網(wǎng)的一部分和其余部分之間的信息交換進(jìn)行有條件的控制(包括隔離),從而阻斷不希望發(fā)生的網(wǎng)絡(luò)間通信的系統(tǒng)部署防火墻技術(shù)[10],構(gòu)筑內(nèi)外網(wǎng)之間的安全屏障,可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來,保護(hù)校園網(wǎng)絡(luò)不受未經(jīng)授權(quán)的第三方侵入。
二、校園網(wǎng)防火墻系統(tǒng)的配置
假定校園網(wǎng)通過Cisco路由器與INTERNET相連。校園內(nèi)的IP地址范圍是確
定的,且有明確的閉和邊界,它有一個C類的IP地址,有DNS、Email、WWW、FTP等服務(wù)器,可采用以下存取控制策略。
1)對進(jìn)入CERNET主干網(wǎng)的存取控制
2)對網(wǎng)絡(luò)中心資源主機(jī)的訪問控制,網(wǎng)絡(luò)中心的DNS、Email、FTP、WWW等服務(wù)器是重要的資源,要特別的保護(hù),可對網(wǎng)絡(luò)中心所在子網(wǎng)禁止,DNS,Email,WWW,FTP以外的一切服務(wù)。
3)對校外非法網(wǎng)址的訪問,一般情況,一些傳播非法信息的站點(diǎn)主要在校外,而這些站點(diǎn)的域名可能是已知的。為防止IP地址欺騙和盜用需為對網(wǎng)絡(luò)內(nèi)部人員訪問Internet進(jìn)行一定限制在連接內(nèi)部網(wǎng)絡(luò)的端口接收數(shù)據(jù)時進(jìn)行IP地址和以太網(wǎng)地址檢查,盜用IP地址的數(shù)據(jù)包將被丟棄,并記錄有關(guān)信息;再連接 Internet 端接收數(shù)據(jù)時,如從外部網(wǎng)絡(luò)收到一段假冒內(nèi)部IP地址發(fā)出的報文,也應(yīng)丟棄,并記錄有關(guān)信息。防止IP地址被盜用的徹底解決辦法是:代理服務(wù)器防火墻和捆綁IP地址和以太網(wǎng)地址,對非法訪問的動態(tài)禁止一旦獲得某個IP地址的訪問是非法的,可立即更改路由器中的存取控制表,從而禁止其對外的非法訪問。首先應(yīng)在路由器和校園網(wǎng)的以太口預(yù)設(shè)控制組102,然后過濾掉來自非法地址的所有IP包。
結(jié)論
計(jì)算機(jī)網(wǎng)絡(luò)的安全問題越來越受到人們的重視,一個安全的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的保護(hù)不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關(guān),而且和每個使用者的安全操作等都有關(guān)系。網(wǎng)絡(luò)安全是動態(tài)的,新的Internet黑客站點(diǎn)、病毒與安全技術(shù)每日劇增,世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng),隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展,網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。
防火墻不能完全解決網(wǎng)絡(luò)安全的全部問題,如不能防范內(nèi)部攻擊等,因此還需要考慮其他技術(shù)的和非技術(shù)的因素,如身份鑒別,信息加密術(shù),提高網(wǎng)絡(luò)管理人員的安全意識等,總之,防火墻是網(wǎng)絡(luò)安全的第一道重要的安全屏障,如何提高防火墻的防護(hù)能力并保證系統(tǒng)的高速高效運(yùn)行,不斷提高網(wǎng)絡(luò)安全水平,這將是一個隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷研究的課題。
致謝
本文是在指導(dǎo)老師胡楠老師的悉心教導(dǎo)下完成的。寫論文的這段時間,老師淵博的學(xué)識,嚴(yán)謹(jǐn)?shù)闹螌W(xué)太多和細(xì)心指導(dǎo),以及他給我的支持和鼓勵使我終身難忘,我所取得的每一點(diǎn)成就都與導(dǎo)師的熱心關(guān)懷和精心指導(dǎo)是分不開的,值此論文完成之際,特別向?qū)熤乱灾孕牡母兄x各崇高的敬意。
本課題的完成過程中,本人還得到了同學(xué)們及其他各方面的支持和幫助,特別感謝致謝在一起愉快的度過大學(xué)生活的各位室友,正是由于你們的幫助和支持,我才能克服一個一個的困難和疑惑,直至本文的順利完成。
在論文即將完成之際,我的心情無法平靜,從開始進(jìn)入課題到論文的順利完成,有多少可敬的師長、同學(xué)、朋友給了我無言的幫助,在這里請接受我誠摯的謝意!我還要感謝培養(yǎng)我長大含辛茹苦的父母,謝謝你們!最后,我要向百忙之中抽時間對本文進(jìn)行審閱,評議和參與本人論文答辯的各位老師表示感謝。
參考文獻(xiàn)
[1]張斌,黑客與反黑客,北京郵電大學(xué)出版社,Pag56-75 [2]石淑華,池瑞楠,計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電出版社,Pag267-283 [3]肖新峰,宋強(qiáng),王立新等,TCP/IP協(xié)議與網(wǎng)絡(luò)管理,北京清華大學(xué)出版社,Pag83-99 [4]李軍,防火墻上臺階,信息網(wǎng)絡(luò)安全2004年07期,Pag28—29 [5]陳愛民,計(jì)算機(jī)的安全與保密,北京電子工業(yè)出版社,pag35-42 [6]蔣建春,馬恒太,任黨恩等,網(wǎng)絡(luò)安全入侵檢測研究綜述軟件學(xué)報
[7]石淑華,池瑞楠,計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電出版社,Pag70-104 [8]老聃,安全網(wǎng)關(guān)—網(wǎng)絡(luò)邊界防護(hù)的利器,信息安全與通信保密,2004年08期75 [9]陳平,何慶等主編,電腦2003合訂本,西南師范大學(xué)出版社,2004年1月 [10] 張穎,劉軍,王磊,計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀及解決方法[N]電腦商情報 ,2007年1月
第五篇:淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)論文
婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)
摘 要
隨著時代的發(fā)展,Internet日益普及,網(wǎng)絡(luò)已經(jīng)成為信息資源的海洋,給人們帶來了極大的方便。但由于Internet是一個開放的,無控制機(jī)構(gòu)的網(wǎng)絡(luò),經(jīng)常會受到計(jì)算機(jī)病毒、黑客的侵襲。它可使計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)和文件丟失,系統(tǒng)癱瘓。因此,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全問題必須放在首位。作為保護(hù)局域子網(wǎng)的一種有效手段,防火墻技術(shù)備受睞。
本文主要闡述了網(wǎng)絡(luò)安全技術(shù)所要受到的各方面威脅以及自身存在的一些缺陷,所謂知己知彼,百戰(zhàn)不殆。只有了解了網(wǎng)絡(luò)安全存在的內(nèi)憂外患,才能更好的改善網(wǎng)絡(luò)安全技術(shù),發(fā)展網(wǎng)絡(luò)安全技術(shù)。然后主要闡述防火墻在網(wǎng)絡(luò)安全中起到的巨大的作用,防火墻的優(yōu)缺點(diǎn)及各種類型防火墻的使用和效果。
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的在飛速發(fā)展中,尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性,網(wǎng)絡(luò)信息的安全性變得日益重要,只有熟悉了各種對網(wǎng)絡(luò)安全的威脅,熟悉各種保護(hù)網(wǎng)路安全的技術(shù),我們才能更好的保護(hù)計(jì)算機(jī)和信息的安全。
關(guān)鍵字:計(jì)算機(jī)網(wǎng)絡(luò);網(wǎng)絡(luò)安全;防范措施;防火墻技術(shù)
婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)
Abstract With the development of The Times, the Internet has become increasingly popular and network information resources of the sea, and bring great convenience。But because of the Internet is an open, without control network, computer virus, often by hackers。It can make the computer and the computer network, the system files and data loss。Therefore, the computer network system security problems must be given priority。As the protection of local subnet an effective means, firewall technology。
This article mainly elaborated by network security technology to every aspect of the threat and its existence, some defects, so-called awareness。The existence of the 1930's and network security, can improve network security technology, the development of network security technology。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。
The computer network technology, especially in the rapid development of the Internet is becoming more and more widely applied in brought an unprecedented huge amounts of information, network of openness and freedom in the private information and data were damaged or infringed, the possibility of network information security is becoming increasingly important, only familiar to all kinds of network security threats, familiar with various protection network security technology, we can better protect the computer and information security。
Key words: Computer network, Network security, The prevention measures, Firewall technology
II 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)
目錄
摘 要................................................I Abstract.............................................II 引言.................................................1 第一章 網(wǎng)絡(luò)安全概述.................................2 1.1 計(jì)算機(jī)網(wǎng)絡(luò)安全的含義..........................2 1.2 網(wǎng)絡(luò)信息安全的主要威脅........................2 1.2.1 自然威脅..................................2 1.2.2 人為威脅—黑客攻擊與計(jì)算機(jī)病毒............3 1.3 計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因..............4 1.4 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素......................5 第二章 計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略.......................6 2.1 防火墻技術(shù)....................................6 2.2 數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)................9 2.3 入侵檢測技術(shù).................................10 2.4 防病毒技術(shù)...................................11 2.5 安全管理隊(duì)伍的建設(shè)...........................11 第三章 防火墻技術(shù)..................................12 3.1 防火墻的定義.................................12 3.2 防火墻的功能.................................12 3.2.1 防火墻是網(wǎng)絡(luò)安全的屏障...................12 3.2.2 防火墻的種類.............................13 3.3 防火墻的技術(shù)原理.............................13 3.4 防火墻的應(yīng)用.................................15 3.4.1 個人防火墻的應(yīng)用.........................15 3.4.2 防火墻技術(shù)在校園網(wǎng)中應(yīng)用.................20 結(jié)論................................................22
III 婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)
致謝................................................23 參考文獻(xiàn).............................................24 IV 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)
引言
近年來,隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛,在帶來了前所未有的海量信息的同時,計(jì)算機(jī)網(wǎng)絡(luò)的安全性變得日益重要起來,由于計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)資源的共享性等因素,致使計(jì)算機(jī)網(wǎng)絡(luò)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊【1】。
為確保信息的安全與網(wǎng)絡(luò)暢通,研究計(jì)算機(jī)網(wǎng)絡(luò)的安全與防護(hù)措施已迫在眉捷,但網(wǎng)絡(luò)安全問題至今仍沒有能夠引起足夠的重視,更多的用戶認(rèn)為網(wǎng)絡(luò)安全問題離自己尚遠(yuǎn),這一點(diǎn)從大約有40%以上的用戶特別是企業(yè)級用戶沒有安裝防火墻(Firewall)便可以窺見一斑,而所有的問題都在向大家證明一個事實(shí),大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā),所以防火墻技術(shù)應(yīng)當(dāng)引起我們的注意和重視。
本文主要研究網(wǎng)絡(luò)安全的缺陷原由及網(wǎng)絡(luò)安全技術(shù)的原理和其他技術(shù),如防火墻技術(shù)對網(wǎng)絡(luò)安全起到的不可忽視的影響。
婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)
第一章網(wǎng)絡(luò)安全概述
1.1 計(jì)算機(jī)網(wǎng)絡(luò)安全的含義
計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化,使用者不同,對網(wǎng)絡(luò)安全的認(rèn)識和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時受到保護(hù),避免被竊聽、篡改和偽造;而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外,還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞,以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信,保持網(wǎng)絡(luò)通信的連續(xù)性。
從本質(zhì)上來講,網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網(wǎng)絡(luò)安全既有技術(shù)方面的問題,也有管理方面的問題,兩方面相互補(bǔ)充,缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。
1.2 網(wǎng)絡(luò)信息安全的主要威脅
網(wǎng)絡(luò)安全所面臨的威脅來自很多方面,并且隨著時問的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。
1.2.1 自然威脅
自然威脅可能來自于各種自然災(zāi)害、惡劣的場地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些無目的的事件,有時會直接威脅網(wǎng)絡(luò)的安全,影響信息的存儲媒體。
淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)
1.2.2 人為威脅—黑客攻擊與計(jì)算機(jī)病毒
人為威脅就是說對網(wǎng)絡(luò)的人為攻擊。這些攻擊手段都是通過尋找系統(tǒng)的弱點(diǎn)【2】,以便達(dá)到破壞、欺騙、竊取數(shù)據(jù)等目的,造成經(jīng)濟(jì)上和政治上不可估量的損失。網(wǎng)絡(luò)安全的人為威脅主要分為以下幾種:
? 網(wǎng)絡(luò)缺陷
Intemet由于它的開放性迅速在全球范圍內(nèi)普及,但也正是因?yàn)殚_放性使其保護(hù)信息安全存在先天不足。Internet最初的設(shè)計(jì)考慮主要是考慮資源共享,基本沒有考慮安全問題,缺乏相應(yīng)的安全監(jiān)督機(jī)制。? 黑客攻擊
自1998年后,網(wǎng)上的黑客越來越多,也越來越猖獗;與此同時黑客技術(shù)逐漸被越來越多的人掌握現(xiàn)在還缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段,使得黑客攻擊的隱蔽性好,“殺傷力”強(qiáng),這是網(wǎng)絡(luò)安全的主要威脅之一。
? 各種病毒
病毒時時刻刻威脅著整個互聯(lián)網(wǎng)。像Nimda和CodeRed的爆發(fā)更是具有深遠(yuǎn)的影響,促使人們不得不在網(wǎng)絡(luò)的各個環(huán)節(jié)考慮對于各種病毒的檢測防治,對病毒徹底防御的重要性毋庸置疑。
? 管理的欠缺及資源濫用
很多上了互聯(lián)網(wǎng)的企業(yè)缺乏對于網(wǎng)絡(luò)安全的認(rèn)識,管理上存在很多漏洞,特別是國內(nèi)的企業(yè),只是提供了接入Internet的通道,對于網(wǎng)絡(luò)上黑客的攻擊缺乏基本的應(yīng)對措施,同時企業(yè)內(nèi)部普遍存在資源濫用現(xiàn)象,這是造成網(wǎng)絡(luò)安全問題的根本原因。軟件的漏洞和后門:隨著CPU的頻率越來越高,軟件的規(guī)模越來越大,軟件系統(tǒng)中的漏洞也不可避免的存在,強(qiáng)大如微軟所開發(fā)的Windows也存在。各種各樣的安全漏洞和“后門”,這是網(wǎng)絡(luò)安全的主要威脅之一。
? 網(wǎng)絡(luò)內(nèi)部用戶的誤操作和惡意行為
對于來自網(wǎng)絡(luò)內(nèi)部的攻擊,主流的網(wǎng)絡(luò)安全產(chǎn)品防火墻基本無能為力,這類攻擊及其誤操作行為需要網(wǎng)絡(luò)信息 3 婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)
審計(jì)、IDS等主要針對內(nèi)部網(wǎng)絡(luò)安全的安全產(chǎn)品來抵御。? 網(wǎng)絡(luò)資源濫用
網(wǎng)絡(luò)有了安全保證和帶寬管理,依然不能防止員工對網(wǎng)絡(luò)資源的濫用。等行為極大地降低了員工的工作效率。管理層希望員工更加有效地使用互聯(lián)網(wǎng),盡量避免網(wǎng)絡(luò)對工作帶來負(fù)面影響。? 信息泄漏
惡意、過失的不合理信息上傳和發(fā)布,可能會造成敏感信息泄漏、有害信息擴(kuò)散,危及社會、國家、體和個人利益。更有基于競爭需要,利用技術(shù)手段對目標(biāo)機(jī)信息資源進(jìn)行竊取。在眾多人為威脅中來自用戶和惡意軟件即計(jì)算機(jī)病毒的非法侵入嚴(yán)重,計(jì)算機(jī)病毒是利用程序干擾破壞系統(tǒng)正常工作的一種手段,它的產(chǎn)生和蔓延給信息系統(tǒng)的可靠性和安全性帶來嚴(yán)重的威脅和巨大的損失。
1.3 計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因
網(wǎng)絡(luò)安全缺陷產(chǎn)生的原因主要有:
第一TCP/IP的脆弱性。因特網(wǎng)的基石是TCP/IP協(xié)議【3】,不幸的是該協(xié)議對于網(wǎng)絡(luò)的安全性考慮得并不多。并且,由于TCP/IP協(xié)議是公布于眾的,如果人們對TCP/IP很熟悉,就可以利用它的安全缺陷來實(shí)施網(wǎng)絡(luò)攻擊。
第二,網(wǎng)絡(luò)結(jié)構(gòu)的不安全性。因特網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)。它是由無數(shù)個局域網(wǎng)所連成的一個巨大網(wǎng)絡(luò)。當(dāng)人們用一臺主機(jī)和另一局域網(wǎng)的主機(jī)進(jìn)行通信時,通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機(jī)器重重轉(zhuǎn)發(fā),如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機(jī),他就可以劫持用戶的數(shù)據(jù)包。
第三,易被竊聽。由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密,因此人們利用網(wǎng)上免費(fèi)提供的工具就很容易對網(wǎng)上的電子郵件、口令和傳輸?shù)奈募M(jìn)行竊聽。
第四,缺乏安全意識。雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護(hù)屏障,但人們普遍缺乏安全意識,從而使這些保護(hù)措施形同虛設(shè)。如人們?yōu)榱吮荛_防火墻代理服務(wù)器的額外認(rèn)證,進(jìn)行直接的PPP連接從而避開了防火墻的保護(hù)。淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)
1.4 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素
①網(wǎng)絡(luò)資源的共享性。資源共享是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的主要目的,但這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞提供了機(jī)會。隨著互聯(lián)網(wǎng)需求的日益增長,外部服務(wù)請求不可能做到完全隔離,攻擊者利用服務(wù)請求的機(jī)會很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。
②網(wǎng)絡(luò)的開放性。網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源,從而很容易獲取到一個企業(yè)、單位以及個人的敏感性信息。
③網(wǎng)絡(luò)操作系統(tǒng)的漏洞。網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實(shí)現(xiàn)的最終載體之一,它不僅負(fù)責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝,同時還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。由于網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性,決定了操作系統(tǒng)必然存在各種實(shí)現(xiàn)過程所帶來的缺陷和漏洞。
④網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷。網(wǎng)絡(luò)設(shè)計(jì)是指拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會直接帶來安全隱患。合理的網(wǎng)絡(luò)設(shè)計(jì)在節(jié)約資源的情況下,還可以提供較好的安全性。不合理的網(wǎng)絡(luò)設(shè)計(jì)則會成為網(wǎng)絡(luò)的安全威脅。
⑤惡意攻擊。就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒,這是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化,這類攻擊也是越來越多,影響越來越大。婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)
第二章計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略
計(jì)算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來說,主要由防病毒、防火墻、入侵檢測等多個安全組件組成,任何一個單獨(dú)的組件都無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有:防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測技術(shù)、防病毒技術(shù)等,以下就此幾項(xiàng)技術(shù)分別進(jìn)行分析。
2.1 防火墻技術(shù)
防火墻網(wǎng)絡(luò)安全的屏障,配置防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的安全措施之一。防火墻是指一個由軟件或和硬件設(shè)備組合而成,處于企業(yè)或網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道之間,限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。當(dāng)一個網(wǎng)絡(luò)接上Internet之后,系統(tǒng)的安全除了考慮計(jì)算機(jī)病毒、系統(tǒng)的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術(shù)完成。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險。
防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認(rèn)證)配置在防火墻上。其次對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)。如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動作時,防火墻能進(jìn)行適當(dāng)?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離【4】,從而降低了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。
為了讓大家更好地使用防火墻,我們從反面列舉4個有代表性的失敗案例。
例1:未制定完整的企業(yè)安全策略 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)
網(wǎng)絡(luò)環(huán)境:某中型企業(yè)購買了適合自己網(wǎng)絡(luò)特點(diǎn)的防火墻,剛投入使用后,發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了,企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了,為此,公司領(lǐng)導(dǎo)特意表揚(yáng)了負(fù)責(zé)防火墻安裝實(shí)施的信息部。
該企業(yè)網(wǎng)絡(luò)環(huán)境如圖2.1所示:
圖2.1 該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機(jī)是帶路由模塊的三層交換機(jī),出口通過路由器和ISP連接。內(nèi)部網(wǎng)劃分為5個VLAN,VLAN
1、VLAN 2和VLAN 3分配給不同的部門使用,不同的VLAN之間根據(jù)部門級別設(shè)置訪問權(quán)限;VLAN 4分配給交換機(jī)出口地址和路由器使用;VLAN 5分配給公共服務(wù)器使用。在沒有加入防火墻之前,各個VLAN中的PC機(jī)能夠通過交換機(jī)和路由器不受限制地訪問Internet。加入防火墻后,給防火墻分配一個VLAN 4中的空閑IP地址,并把網(wǎng)關(guān)指向路由器;將VLAN 5接入到防火墻的一個網(wǎng)口上。這樣,防火墻就把整個網(wǎng)絡(luò)分為3個區(qū)域: 內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng),三者之間的通信受到防火墻安全規(guī)則的限制。
問題描述:防火墻投入運(yùn)行后,實(shí)施了一套較為嚴(yán)格的安全規(guī)則,導(dǎo)致公司員工無法使用QQ聊天軟件,于是沒過多久就有員工自己撥號上網(wǎng),導(dǎo)致感染了特洛依木馬 婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)
和蠕蟲等病毒,并立刻在公司內(nèi)部局域網(wǎng)中傳播開來,造成內(nèi)部網(wǎng)大面積癱瘓。
問題分析:我們知道,防火墻作為一種保護(hù)網(wǎng)絡(luò)安全的設(shè)備,必須部署在受保護(hù)網(wǎng)絡(luò)的邊界處,只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信,達(dá)到將入侵者拒之門外的目的。如果被保護(hù)網(wǎng)絡(luò)的邊界不惟一,有很多出入口,那么只部署一臺防火墻是不夠的。在本案例中,防火墻投入使用后,沒有禁止私自撥號上網(wǎng)行為,使得許多PC機(jī)通過電話線和Internet相連,導(dǎo)致網(wǎng)絡(luò)邊界不惟一,入侵者可以通過攻擊這些PC機(jī)然后進(jìn)一步攻擊內(nèi)部網(wǎng)絡(luò),從而成功地避開了防火墻。
解決辦法:根據(jù)自己企業(yè)網(wǎng)的特點(diǎn),制定一整套安全策略,并徹底地貫徹實(shí)施。比如說,制定一套安全管理規(guī)章制度,嚴(yán)禁員工私自撥號上網(wǎng);同時封掉撥號上網(wǎng)的電話號碼,并購買檢測撥號上網(wǎng)的軟件,這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不惟一的情況發(fā)生。另外,考慮到企業(yè)員工的需求,可以在防火墻上添加按照時間段生效的安全規(guī)則,在非工作時間打開QQ使用的TCP/UDP端口,使得企業(yè)員工可以在工余時間使用QQ聊天軟件。
例2:未考慮與其他安全產(chǎn)品的配合使用 問題描述:某公司購買了防火墻后,緊接著又購買了漏洞掃描和IDS(入侵檢測系統(tǒng))產(chǎn)品。當(dāng)系統(tǒng)管理員利用IDS發(fā)現(xiàn)入侵行為后,必須每次都要手工調(diào)整防火墻安全策略,使管理員工作量劇增,而且經(jīng)常調(diào)整安全策略,也給整個網(wǎng)絡(luò)帶來不良影響。
問題分析:選購防火墻時未充分考慮到與其他安全產(chǎn)品如IDS的聯(lián)動功能,導(dǎo)致不能最大程度地發(fā)揮安全系統(tǒng)的作用。
解決辦法:購買防火墻前應(yīng)查看企業(yè)網(wǎng)是否安裝了漏洞掃描或IDS等其他安全產(chǎn)品,以及具體產(chǎn)品名稱和型號,然后確定所要購買的防火墻是否有聯(lián)動功能(即是否支持其他安全產(chǎn)品,尤其是IDS產(chǎn)品),支持的是哪些品牌和型號的產(chǎn)品,是否與已有的安全產(chǎn)品名稱相符,如果不符,最好不要選用,而選擇能同已有安全產(chǎn)品聯(lián)動的防火墻。這樣,當(dāng)IDS發(fā)現(xiàn)入侵行為后,在通知管理員的同 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)
時發(fā)送消息給防火墻,由防火墻自動添加相關(guān)規(guī)則,把入侵者拒之門外。
例3:未經(jīng)常維護(hù)升級防火墻 問題描述:某政府機(jī)構(gòu)購置防火墻后已安全運(yùn)行一年多,由于該機(jī)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)一直很穩(wěn)定,沒有什么變化,各種應(yīng)用也運(yùn)行穩(wěn)定,因此管理員逐漸放松了對防火墻的管理,只要網(wǎng)絡(luò)一直保持暢通即可,不再關(guān)心防火墻的規(guī)則是否需要調(diào)整,軟件是否需要升級。而且由于該機(jī)構(gòu)處于政府專網(wǎng)內(nèi),與Internet物理隔離,防火墻無法實(shí)現(xiàn)在線升級。因此該機(jī)構(gòu)的防火墻軟件版本一直還是購買時的舊版本,雖然管理員一直都收到防火墻廠家通過電子郵件發(fā)來的軟件升級包,但從未手工升級過。在一次全球范圍的蠕蟲病毒迅速蔓延事件中,政府專網(wǎng)也受到蠕蟲病毒的感染,該機(jī)構(gòu)防火墻因?yàn)闆]有及時升級,無法抵御這種蠕蟲病毒的攻擊,造成整個機(jī)構(gòu)的內(nèi)部網(wǎng)大面積受感染,網(wǎng)絡(luò)陷于癱瘓之中。
問題分析:安全與入侵永遠(yuǎn)是一對矛盾。防火墻軟件作為一種安全工具,必須不斷地升級與更新才能應(yīng)付不斷發(fā)展的入侵手段,過時的防護(hù)盾牌是無法抵擋最先進(jìn)的長矛的。作為安全管理員來說,應(yīng)當(dāng)時刻留心廠家發(fā)布的升級包,及時給防火墻打上最新的補(bǔ)丁。
解決辦法:及時維護(hù)防火墻,當(dāng)本機(jī)構(gòu)發(fā)生人員變動、網(wǎng)絡(luò)調(diào)整和應(yīng)用變化時,要及時調(diào)整防火墻的安全規(guī)則,及時升級防火墻。
從以上三個案例我們可以得出一些結(jié)論:防火墻只是保證安全的一種技術(shù)手段,要想真正實(shí)現(xiàn)安全,安全策略是核心問題。保護(hù)網(wǎng)絡(luò)安全不僅僅是防火墻一種產(chǎn)品,只有將多種安全產(chǎn)品無縫地結(jié)合起來,充分利用它們各自的優(yōu)點(diǎn),才能最大限度地保證網(wǎng)絡(luò)安全。而保護(hù)網(wǎng)絡(luò)安全是動態(tài)的過程,防火墻需要積極地維護(hù)和升級。
2.2
數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)
與防火墻相比,數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比 婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)
較靈活,更加適用于開放的網(wǎng)絡(luò)。用戶授權(quán)訪問控制主要用于對靜態(tài)信息的保護(hù),需要系統(tǒng)級別的支持,一般在操作系統(tǒng)中實(shí)現(xiàn)。數(shù)據(jù)加密主要用于對動態(tài)信息的保護(hù)。對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實(shí)現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密實(shí)質(zhì)上是對以符號為基礎(chǔ)的數(shù)據(jù)進(jìn)行移位和置換的變換算法,這種變換是對稱密鑰算法”。這樣的密鑰必須秘密保管,只能為授權(quán)用戶所知,授權(quán)用戶既可以用該密鑰加密信急,也可以用該密鑰解密信息,DES是對稱加密算法中最具代表性的算法。在公鑰加密算法中,公鑰是公開的,任何人可以用公鑰加密信息,再將密文發(fā)送給私鑰擁有者。私鑰是保密的,用于解密其接收的公鑰加密過的信息【5】。典型的公鑰加密算法~nRSA是目前使用比較廣泛的加密算法。
2.3 入侵檢測技術(shù)
入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息,再通過此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。IDS被認(rèn)為是防火墻之后的第二道安全閘門,它能使在入侵攻擊對系統(tǒng)發(fā)生危害前,檢測到入侵攻擊,并利用報警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊:在入侵攻擊過程中,能減少入侵攻擊所造成的損失;在被入侵攻擊后,收集入侵攻擊的相關(guān)信息,作為防范系統(tǒng)的知識,添加入策略集中,增強(qiáng)系統(tǒng)的防范能力,避免系統(tǒng)再次受到同類型的入侵【6】。
入侵檢測的作用包括威懾、檢測、響應(yīng)、損失情況評估、攻擊預(yù)測和起訴支持。入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測技術(shù)的功能主要體現(xiàn)在以下方面:
1)分析用戶及系統(tǒng)活動,查找非法用戶和合法用戶的越權(quán)操作;
2)檢測系統(tǒng)配置的正確性和安全漏洞,并提示管理員修 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)
3)4)5)6)7)補(bǔ)漏洞;
識別反映已知進(jìn)攻的活動模式并向相關(guān)人上報警; 對異常行為模式的統(tǒng)計(jì)分析;
能夠?qū)崟r地對檢測到的入侵行為進(jìn)行反應(yīng); 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性; 可以發(fā)現(xiàn)新的攻擊模式;
2.4 防病毒技術(shù)
隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展,計(jì)算機(jī)病毒變得越來越復(fù)雜和高級,對計(jì)算機(jī)信息系統(tǒng)構(gòu)成極大的威脅。在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網(wǎng)絡(luò)防病毒軟件和單機(jī)防病毒軟件兩大類。單機(jī)防病毒軟件一般安裝在單臺Pc上,即對本地和本地工作站連接的遠(yuǎn)程資源采用分析掃描的方式檢測、清除病毒。網(wǎng)絡(luò)防病毒軟件則主要注重網(wǎng)絡(luò)防病毒,一旦病毒入侵網(wǎng)絡(luò)或者從網(wǎng)絡(luò)向其它資源傳染,網(wǎng)絡(luò)防病毒軟件會立刻檢測到并加以刪除【7】。
2.5 安全管理隊(duì)伍的建設(shè)
在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中,絕對的安全是不存在的,制定健全的安全管理體制是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保證,只有通過網(wǎng)絡(luò)管理人員與使用人員的共同努力,運(yùn)用一切可以使用的工具和技術(shù),盡一切可能去控制、減小一切非法的行為,盡可能地把不安全的因素降到最低。同時,要不斷地加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全規(guī)范化管理力度,大力加強(qiáng)安全技術(shù)建設(shè),強(qiáng)化使用人員和管理人員的安全防范意識。網(wǎng)絡(luò)內(nèi)使用的IP地址作為一種資源以前一直為某些管理人員所忽略,為了更好地進(jìn)行安全管理工作,應(yīng)該對本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對于盜用IP資源的用戶必須依據(jù)管理制度嚴(yán)肅處理。只有共同努力,才能使計(jì)算機(jī)網(wǎng)絡(luò)的安全可靠得到保障,從而使廣大網(wǎng)絡(luò)用戶的利益得到保障。婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)
第三章防火墻技術(shù)
3.1 防火墻的定義
防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)網(wǎng)絡(luò)的安全政策控制(允許拒絕監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
Internet防火墻是一個或一組系統(tǒng),它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性,用于加強(qiáng)網(wǎng)絡(luò)間的訪問控制,防止外部用戶非法使用內(nèi)部網(wǎng)的資源,保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞,防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取,防火墻系統(tǒng)還決定了哪些內(nèi)部服務(wù)可以被外界訪問,外界的哪些人可以訪問內(nèi)部的服務(wù),以及哪些外部服務(wù)何時可以被內(nèi)部人員訪問。要使一個防火墻有效,所有來自和去往Internet的信息都必須經(jīng)過防火墻并接受檢查。防火墻必須只允許授權(quán)的數(shù)據(jù)通過,并且防火墻本身也必須能夠免于滲透。但是,防火墻系統(tǒng)一旦被攻擊突破或迂回繞過,就不能提供任何保護(hù)了。
3.2 防火墻的功能
3.2.1 防火墻是網(wǎng)絡(luò)安全的屏障
防火墻(作為阻塞點(diǎn),控制點(diǎn))能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。
防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略,通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令加密身份認(rèn)證審計(jì)等)配置在防火墻上,對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì):所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù),當(dāng)發(fā)生可疑動作時,防火墻能進(jìn)行適當(dāng)?shù)膱缶?并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。防止內(nèi) 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)
部信息的外泄,通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。
3.2.2 防火墻的種類
防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同,總體來講可分為二大類:分組過濾,應(yīng)用代理。
分組過濾(Packetfiltering);作用在網(wǎng)絡(luò)層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號,協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。
應(yīng)用代理(ApplicationProxy):也叫應(yīng)用網(wǎng)關(guān)(ApplicationGateway), 它作用在應(yīng)用層,其特點(diǎn)是完全 “ 阻隔 ” 了網(wǎng)絡(luò)通信流通過對每種應(yīng)用服務(wù)編制專門的代理程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用,實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)【8】。
3.3 防火墻的技術(shù)原理
目前,防火墻系統(tǒng)的工作原理因?qū)崿F(xiàn)技術(shù)不同,大致可分為三種:
(1)包過濾技術(shù)
包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。根據(jù)設(shè) 置好的過濾規(guī)則,通過檢查IP數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定的IP地址會被防火墻過濾掉,由此保證網(wǎng)絡(luò)系統(tǒng)的安全。該技術(shù)通常可以過濾基于某些或所有下列信息組的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過濾技術(shù)實(shí)際上是一種基于路由器的技術(shù),其最大優(yōu)點(diǎn)就是價格便宜,實(shí)現(xiàn)邏輯簡單便于安裝和使用。
缺點(diǎn):1)過濾規(guī)則難以配置和測試。2)包過濾只訪問網(wǎng)絡(luò)層和傳輸層的信息,訪問信息有限,對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。3)對一些協(xié)議,如UDP和RPC難以有效的過濾。婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)
(2)代理技術(shù)
代理技術(shù)是與包過濾技術(shù)完全不同的另一種防火墻技術(shù)。其主要思想就是在兩個網(wǎng)絡(luò)之間設(shè)置一個“中間檢查站”,兩邊的網(wǎng)絡(luò)應(yīng)用可以通過這個檢查站相互通信,但是它們之間不能越過它直接通信。這個“中間檢查站”就是代理服務(wù)器,它運(yùn)行在兩個網(wǎng)絡(luò)之間,對網(wǎng)絡(luò)之間的每一個請求進(jìn)行檢查。當(dāng)代理服務(wù)器接收到用戶請求后,會檢查用戶請求合法性。若合法,則把請求轉(zhuǎn)發(fā)到真實(shí)的服務(wù)器上,并將答復(fù)再轉(zhuǎn)發(fā)給用戶。代理服務(wù)器是針對某種應(yīng)用服務(wù)而寫的,工作在應(yīng)用層。
優(yōu)點(diǎn):它將內(nèi)部用戶和外界隔離開來,使得從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。與包過濾技術(shù)相比,代理技術(shù)是一種更安全的技術(shù)【9】。
缺點(diǎn):在應(yīng)用支持方面存在不足,執(zhí)行速度較慢。(3)狀態(tài)監(jiān)視技術(shù) 這是第三代防火墻技術(shù),集成了前兩者的優(yōu)點(diǎn)。能對網(wǎng)絡(luò)通信的各層實(shí)行檢測。同包過濾技術(shù)一樣,它能夠檢測通過IP地址、端口號以及TCP標(biāo)記,過濾進(jìn)出的數(shù)據(jù)包。它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接,不依靠與應(yīng)用層有關(guān)的代理,而是依靠某種算法來識別進(jìn)出的應(yīng)用層數(shù)據(jù),這些算法通過己知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包,這樣從理論上就能比應(yīng)用級代理在過濾數(shù)據(jù)包上更有效。
狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應(yīng)用程序,可方便地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。此外,它還可監(jiān)測RPC和UDP端口信息,而包過濾和代理都不支持此類端口。這樣,通過對各層進(jìn)行監(jiān)測,狀態(tài)監(jiān)視器實(shí)現(xiàn)網(wǎng)絡(luò)安全的目的。目前,多使用狀態(tài)監(jiān)測防火墻,它對用戶透明,在OSI最高層上加密數(shù)據(jù),而無需修改客戶端程序,也無需對每個需在防火墻上運(yùn)行的服務(wù)額外增加一個代理。
要想建立一個真正行之有效的安全的計(jì)算機(jī)網(wǎng)絡(luò),僅使用防火墻還是不夠,在實(shí)際的應(yīng)用中,防火墻常與其它安全措施,比如加密技術(shù)、防病毒技術(shù)等綜合應(yīng)用,才起到防御的最大化的效果。淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)
3.4 防火墻的應(yīng)用
3.4.1 個人防火墻的應(yīng)用
瑞星個人防火墻的應(yīng)用 1)安裝
第一步啟動安裝程序。
當(dāng)把瑞星個人防火墻下載版安裝程序保存到您電腦中的指定目錄后,找到該目錄,雙擊運(yùn)行安裝程序,就可以進(jìn)行瑞星個人防火墻下載版的安裝了。
第二步完成安裝后,如圖3.1:
圖3.1 第三步輸入產(chǎn)品序列號和用戶ID。
啟動個人防火墻,當(dāng)出現(xiàn)如圖3.2下所示的窗口后,在相應(yīng)位置輸入您購買獲得的產(chǎn)品序列號和用戶ID,點(diǎn)擊“確定”,通過驗(yàn)證后則會提示“您的瑞星個人防火墻現(xiàn)在可以正常使用”。
婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)
圖3.2 常見問題:不輸入產(chǎn)品序列號和用戶ID,產(chǎn)品將無法升級,防火墻保護(hù)功能將全部失效,您的計(jì)算機(jī)將無法抵御黑客攻擊。
2)升級
第一步網(wǎng)絡(luò)配置:
?打開防火墻主程序 ?在菜單中依次選擇【設(shè)置】/【設(shè)置網(wǎng)絡(luò)】,打開【網(wǎng)絡(luò)設(shè)置】窗口,如圖3.3 圖3.3 1。設(shè)定網(wǎng)絡(luò)連接方式,如果設(shè)定“通過代理服務(wù)器訪問網(wǎng)絡(luò)”,還需要輸入代理服務(wù)器IP、端口、身份驗(yàn)證信息。
2。您可以選中【使用安全升級模式】,確保升級期間阻止新的網(wǎng)絡(luò)連接 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)
3。點(diǎn)擊【確定】按鈕完成設(shè)置
小提示:
1。如果您已經(jīng)可以瀏覽網(wǎng)頁,說明網(wǎng)絡(luò)設(shè)置已經(jīng)配置好了,這里直接使用默認(rèn)設(shè)置即可。
2。如果您不使用撥號方式上網(wǎng),將不會看到界面中【使用撥號網(wǎng)絡(luò)連接】的選項(xiàng)以及相關(guān)設(shè)置。
3。請確保此步設(shè)置正確,否則可能無法完成智能升級。
第二步:智能升級
完成網(wǎng)絡(luò)配置后,進(jìn)行智能升級的操作方法:
方法一:點(diǎn)擊主界面右側(cè)的【智能升級】按鈕,圖3.4示:
圖3.4 方法二:在菜單中依次選擇【操作】/【智能升級】 方法三:右鍵點(diǎn)擊防火墻托盤圖標(biāo),在彈出菜單中選擇【啟動智能升級】
3)啟動瑞星個人防火墻下載版程序
啟動瑞星個人防火墻軟件主程序有三種方法:
方法一:進(jìn)入【開始】/【所有程序】/【瑞星個人防火墻】,選擇【瑞星個人防火墻】即可啟動。
方法二:用鼠標(biāo)雙擊桌面上的【瑞星個人防火墻】快捷圖標(biāo)即可啟動。
方法三:用鼠標(biāo)單擊任務(wù)欄“快速啟動”上的【瑞星 婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)
個人防火墻】快捷圖標(biāo)即可啟動。
成功啟動程序后的界面如下圖3.5所示:
圖3.5 主要界面元素
1、菜單欄:
用于進(jìn)行菜單操作的窗口,包括【操作】、【設(shè)置】、【幫助】三個菜單。如圖3.6示:
圖3.6
2、操作按鈕:
位于主界面右側(cè),包括【啟動/停止保護(hù)】、【連接/斷開網(wǎng)絡(luò)】、【智能升級】、【查看日志】。如圖3。7示:
圖3.7 功能:停止防火墻的保護(hù)功能,執(zhí)行此功能后,您計(jì) 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)
算機(jī)將不再受瑞星防火墻的保護(hù)已處于停止保護(hù)狀態(tài)時,此按鈕將變?yōu)椤締⒂帽Wo(hù)】;點(diǎn)擊將重新啟用防火墻的保護(hù)功能,您也可以通過菜單項(xiàng)【操作】/【停止保護(hù)】來執(zhí)行此功能;將您的計(jì)算機(jī)完全與網(wǎng)絡(luò)斷開,就如同拔掉網(wǎng)線或是關(guān)掉Modem一樣。其他人都不能訪問您的計(jì)算機(jī),但是您也不能再訪問網(wǎng)絡(luò)。這是在遇到頻繁攻擊時最為有效的應(yīng)對方法;已經(jīng)斷開網(wǎng)絡(luò)后,此項(xiàng)將變?yōu)椤具B接網(wǎng)絡(luò)】,點(diǎn)擊將恢復(fù)網(wǎng)絡(luò)連接;您也可以通過菜單項(xiàng)【操作】/【斷開網(wǎng)絡(luò)】來執(zhí)行此功能;啟動智能升級程序?qū)Ψ阑饓M(jìn)行升級更新;您也可以通過菜單項(xiàng)【操作】/【智能升級】來執(zhí)行此功能;啟動日志顯示程序;您也可能通過【操作】/【顯示日志】來執(zhí)行此功能。
3、標(biāo)簽頁:
位于主界面上部,分【工作狀態(tài)】、【系統(tǒng)狀態(tài)】、【游戲保護(hù)】、【安全資訊】、【漏洞掃描】、【啟動選項(xiàng)】六個標(biāo)簽。如圖3。8示:
圖3。8
4、安全級別: 位于主界面右下角,拖動滑塊到對應(yīng)的安全級別,修改立即生效。
5、當(dāng)前版本及更新日期:
位于主界面右上角,顯示防火墻當(dāng)前版本及更新日期。
6、規(guī)則設(shè)置
配置防火墻的過濾規(guī)則(如圖3。9),包括: 黑名單:在黑名單中的計(jì)算機(jī)禁止與本機(jī)通訊 白名單:在白名單中的計(jì)算機(jī)對本地具有完全的訪問權(quán)限
端口開關(guān):允許或禁止端口中的通訊,可簡單開關(guān)本機(jī)與遠(yuǎn)程的端口 婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)
可信區(qū):通過可信區(qū)的設(shè)置,可以把局域網(wǎng)和互聯(lián)網(wǎng)區(qū)分對待
IP規(guī)則:在IP層過濾的規(guī)則
訪問規(guī)則:本機(jī)中訪問網(wǎng)絡(luò)的程序的過濾規(guī)則
圖3。9 3.4.2 防火墻技術(shù)在校園網(wǎng)中應(yīng)用
一、安裝防火墻
防火墻技術(shù)在校園網(wǎng)安全建設(shè)中得到廣泛的應(yīng)用。由于防火墻是一種按某種規(guī)則對專網(wǎng)和互聯(lián)網(wǎng),或?qū)ヂ?lián)網(wǎng)的一部分和其余部分之間的信息交換進(jìn)行有條件的控制(包括隔離),從而阻斷不希望發(fā)生的網(wǎng)絡(luò)間通信的系統(tǒng)部署防火墻技術(shù)[10],構(gòu)筑內(nèi)外網(wǎng)之間的安全屏障,可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來,保護(hù)校園網(wǎng)絡(luò)不受未經(jīng)授權(quán)的第三方侵入。
二、校園網(wǎng)防火墻系統(tǒng)的配置
假定校園網(wǎng)通過Cisco路由器與INTERNET相連。校園內(nèi)的IP地址范圍是確定的,且有明確的閉和邊界,它有一個C類的IP地址,有DNS、Email、WWW、FTP等服務(wù)器,可采用以下存取控制策略。
1)對進(jìn)入CERNET主干網(wǎng)的存取控制
2)對網(wǎng)絡(luò)中心資源主機(jī)的訪問控制,網(wǎng)絡(luò)中心的DNS、Email、FTP、WWW等服務(wù)器是重要的資源,要特別的保護(hù),可對網(wǎng)絡(luò)中心所在子網(wǎng)禁止,DNS,Email,WWW,FTP 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)
以外的一切服務(wù)。
3)對校外非法網(wǎng)址的訪問,一般情況,一些傳播非法信息的站點(diǎn)主要在校外,而這些站點(diǎn)的域名可能是已知的。為防止IP地址欺騙和盜用需為對網(wǎng)絡(luò)內(nèi)部人員訪問Internet進(jìn)行一定限制在連接內(nèi)部網(wǎng)絡(luò)的端口接收數(shù)據(jù)時進(jìn)行IP地址和以太網(wǎng)地址檢查,盜用IP地址的數(shù)據(jù)包將被丟棄,并記錄有關(guān)信息;再連接 Internet 端接收數(shù)據(jù)時,如從外部網(wǎng)絡(luò)收到一段假冒內(nèi)部IP地址發(fā)出的報文,也應(yīng)丟棄,并記錄有關(guān)信息。防止IP地址被盜用的徹底解決辦法是:代理服務(wù)器防火墻和捆綁IP地址和以太網(wǎng)地址,對非法訪問的動態(tài)禁止一旦獲得某個IP地址的訪問是非法的,可立即更改路由器中的存取控制表,從而禁止其對外的非法訪問。首先應(yīng)在路由器和校園網(wǎng)的以太口預(yù)設(shè)控制組102,然后過濾掉來自非法地址的所有IP包。婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)
結(jié)論
計(jì)算機(jī)網(wǎng)絡(luò)的安全問題越來越受到人們的重視,一個安全的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的保護(hù)不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關(guān),而且和每個使用者的安全操作等都有關(guān)系。網(wǎng)絡(luò)安全是動態(tài)的,新的Internet黑客站點(diǎn)、病毒與安全技術(shù)每日劇增,世界上不存在絕對安全的網(wǎng)絡(luò)系統(tǒng),隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展,網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。
防火墻不能完全解決網(wǎng)絡(luò)安全的全部問題,如不能防范內(nèi)部攻擊等,因此還需要考慮其他技術(shù)的和非技術(shù)的因素,如身份鑒別,信息加密術(shù),提高網(wǎng)絡(luò)管理人員的安全意識等,總之,防火墻是網(wǎng)絡(luò)安全的第一道重要的安全屏障,如何提高防火墻的防護(hù)能力并保證系統(tǒng)的高速高效運(yùn)行,不斷提高網(wǎng)絡(luò)安全水平,這將是一個隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷研究的課題。淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)
致謝
本文是在指導(dǎo)老師胡楠老師的悉心教導(dǎo)下完成的。寫論文的這段時間,老師淵博的學(xué)識,嚴(yán)謹(jǐn)?shù)闹螌W(xué)太多和細(xì)心指導(dǎo),以及他給我的支持和鼓勵使我終身難忘,我所取得的每一點(diǎn)成就都與導(dǎo)師的熱心關(guān)懷和精心指導(dǎo)是分不開的,值此論文完成之際,特別向?qū)熤乱灾孕牡母兄x各崇高的敬意。
本課題的完成過程中,本人還得到了同學(xué)們及其他各方面的支持和幫助,特別感謝致謝在一起愉快的度過大學(xué)生活的各位室友,正是由于你們的幫助和支持,我才能克服一個一個的困難和疑惑,直至本文的順利完成。
在論文即將完成之際,我的心情無法平靜,從開始進(jìn)入課題到論文的順利完成,有多少可敬的師長、同學(xué)、朋友給了我無言的幫助,在這里請接受我誠摯的謝意!我還要感謝培養(yǎng)我長大含辛茹苦的父母,謝謝你們!最后,我要向百忙之中抽時間對本文進(jìn)行審閱,評議和參與本人論文答辯的各位老師表示感謝。
婁底職業(yè)技術(shù)學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)
參考文獻(xiàn)
[1]張斌,黑客與反黑客,北京郵電大學(xué)出版社,Pag56-75 [2]石淑華,池瑞楠,計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電出版社,Pag267-283 [3]肖新峰,宋強(qiáng),王立新等,TCP/IP協(xié)議與網(wǎng)絡(luò)管理,北京清華大學(xué)出版社,Pag83-99 [4]李軍,防火墻上臺階,信息網(wǎng)絡(luò)安全2004年07期,Pag28—29 [5]陳愛民,計(jì)算機(jī)的安全與保密,北京電子工業(yè)出版社,pag35-42 [6]蔣建春,馬恒太,任黨恩等,網(wǎng)絡(luò)安全入侵檢測研究綜述軟件學(xué)報 [7]石淑華,池瑞楠,計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電出版社,Pag70-104 [8]老聃,安全網(wǎng)關(guān)—網(wǎng)絡(luò)邊界防護(hù)的利器,信息安全與通信保密,2004年08期75
[9]陳平,何慶等主編,電腦2003合訂本,西南師范大學(xué)出版社,2004年1月
[10] 張穎,劉軍,王磊,計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀及解決方法[N]電腦商情報 ,2007年1月
點(diǎn)擊咨詢 