第一篇:防火墻技術(shù) 論文題目及提綱
論文題目:防火墻技術(shù)
論文提綱: 摘要
第一章 引言
一、研究背景
二、研究目的
第二章 網(wǎng)絡(luò)安全
一、網(wǎng)絡(luò)安全問題
1.網(wǎng)絡(luò)安全面臨的主要威脅 2.影響網(wǎng)絡(luò)安全的因素
二、網(wǎng)絡(luò)安全措施
1.完善計(jì)算機(jī)安全立法 2.網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)
三、制定合理的網(wǎng)絡(luò)管理措施
第三章 防火墻概述
一、防火墻的概念
1.傳統(tǒng)防火墻介紹 2.智能防火墻簡介
二、防火墻的功能
1.防火墻的主要功能 2.入侵檢測(cè)功能 3.虛擬專網(wǎng)功能 4.其他功能
三、防火墻的原理及分類
1.包過濾防火墻
2.應(yīng)用級(jí)代理防火墻 3.代理服務(wù)型防火墻 4.復(fù)合型防火墻
四、防火墻包過濾技術(shù)
1.數(shù)據(jù)表結(jié)構(gòu)
2.傳統(tǒng)包過濾技術(shù) 3.動(dòng)態(tài)包過濾 4.深度包檢測(cè) 5.流過濾技術(shù)
五、防火墻的局限性 第四章一、二、第五章一、二、三、結(jié)論 防火墻的配置
防火墻配置的基本原則 防火墻配置結(jié)構(gòu)
防火墻發(fā)展趨勢(shì)
防火墻包過濾技術(shù)的發(fā)展趨勢(shì) 防火墻體系結(jié)構(gòu)發(fā)展趨勢(shì) 防火墻系統(tǒng)管理發(fā)展趨勢(shì)
第二篇:防火墻技術(shù)論文
【摘要】
21世紀(jì)全世界的計(jì)算機(jī)都將通過Internet聯(lián)到一起,Internet的迅速發(fā)展給現(xiàn)代人的生產(chǎn)和生活都帶來了前所未有的飛躍,大大提高了工作效率,豐富了人們的生活,彌補(bǔ)了人們的精神空缺。網(wǎng)絡(luò)技術(shù)在近幾年的時(shí)間有了非常大的發(fā)展,經(jīng)歷了從無到有,從有到快;網(wǎng)上信息資源也是從醫(yī)乏到豐富多彩,應(yīng)有盡有。但隨著網(wǎng)絡(luò)速度越來越快,資源越來越豐富,與此同時(shí)也給人們帶來了一個(gè)日益嚴(yán)峻的問題———網(wǎng)絡(luò)安全。
網(wǎng)絡(luò)的安全性成為當(dāng)今最熱門的話題之一,而且網(wǎng)絡(luò)安全防范對(duì)我們校園網(wǎng)的正常運(yùn)行來講也顯得十分重要。現(xiàn)在各種網(wǎng)絡(luò)安全技術(shù)如防火墻技術(shù)、IDS、加密技術(shù)和防黑防病毒技術(shù)等也不斷的出現(xiàn),內(nèi)容十分廣泛。而其中防火墻技術(shù)在網(wǎng)絡(luò)安全技術(shù)當(dāng)中又是最簡單,也是最有效的解決方案。很多企業(yè)為了保障自身服務(wù)器或數(shù)據(jù)安全都采用了防火墻。隨著科技的發(fā)展,防火墻也逐漸被大眾所接受。但是,由于防火墻是屬于高科技產(chǎn)物,許多的人對(duì)此還并不是了解的十分透徹。
本文在簡要論述防火墻的基本分類、工作方式等的基礎(chǔ)上,對(duì)防火墻的優(yōu)缺點(diǎn)以及局限性進(jìn)行了說明,也簡述了防火墻技術(shù)在校園網(wǎng)中的應(yīng)用,并對(duì)其的發(fā)展趨勢(shì)作簡單展望。
【關(guān)鍵詞】
網(wǎng)絡(luò)安全 防火墻 發(fā)展
防火墻
1.1 防火墻的概念
所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。是一種獲取安全性方法的形象說法,它是一種計(jì)算機(jī)硬件和軟件的結(jié)合,使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)(Security Gateway),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入,防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成。
防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件(其中硬件防火墻用的較少,例如國防部以及大型機(jī)房等地才用,因?yàn)樗鼉r(jià)格昂貴)。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。
防火墻,英語為firewall,《英漢證券投資詞典》的解釋為:金融機(jī)構(gòu)內(nèi)部將銀行業(yè)務(wù)與證券業(yè)務(wù)嚴(yán)格區(qū)分開來的法律屏障,旨在防止可能出現(xiàn)的內(nèi)幕消息共享等不公平交易出現(xiàn)。使用防火墻比喻不要引火燒身。
當(dāng)然,既然打算由淺入深的來了解,就要先看看防火墻的概念了。防火墻是汽車中一個(gè)部件的名稱。在汽車中,利用防火墻把乘客和引擎隔開,以便汽車引擎一旦著火,防火墻不但能保護(hù)乘客安全,而同時(shí)還能讓司機(jī)繼續(xù)控制引擎。在電腦術(shù)語中,當(dāng)然就不是這個(gè)意思了,我們可以類比來理解,在網(wǎng)絡(luò)中,所謂“防火墻”,顧名思義,是一種隔離設(shè)備。防火墻是一種高級(jí)訪問控制設(shè)備,臵于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合,它是不同網(wǎng)絡(luò)安全域之間通信流的唯一
通道,能根據(jù)用戶有關(guān)的安全策略控制進(jìn)出網(wǎng)絡(luò)的訪問行為。從專業(yè)角度講,防火墻是位于兩個(gè)或多個(gè)網(wǎng)絡(luò)間,實(shí)施網(wǎng)絡(luò)訪問控制的組件集合。從用戶角度講,防火墻就是被放臵在用戶計(jì)算機(jī)與外網(wǎng)之間的防御體系,網(wǎng)絡(luò)發(fā)往用戶計(jì)算機(jī)的所有數(shù)據(jù)都要經(jīng)過其判斷處理,才決定能否將數(shù)據(jù)交給計(jì)算機(jī),一旦發(fā)現(xiàn)數(shù)據(jù)異常或有害,防火墻就會(huì)將數(shù)據(jù)攔截,從而實(shí)現(xiàn)對(duì)計(jì)算機(jī)的保護(hù)。防火墻是網(wǎng)絡(luò)安全策略的組成部分,它只是一個(gè)保護(hù)裝臵,通過監(jiān)測(cè)和控制網(wǎng)絡(luò)間的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理,其主要目的就是保護(hù)內(nèi)部網(wǎng)絡(luò)的安全。
1.2 防火墻的功能
(1)訪問控制:
■ 限制未經(jīng)授權(quán)的用戶訪問本企業(yè)的網(wǎng)絡(luò)和信息資源的措施,訪問者必需要能適用現(xiàn)行所有的服務(wù)和應(yīng)用。網(wǎng)絡(luò)衛(wèi)士防火墻支持多種應(yīng)用、服務(wù)和協(xié)議,支持所有的internet服務(wù),包括安全的web瀏覽器、電子郵件、ftp、telnet及rpc和udp等,還支持如oracle、sybase、sql服務(wù)器數(shù)據(jù)庫訪問和real audio,vodlive、netmeeting和internet phone等這樣的多媒體應(yīng)用及internet廣播服務(wù)。
■ 提供基于狀態(tài)檢測(cè)技術(shù)的ip地址、端口、用戶和時(shí)間的管理控制; ■ 訪問控制對(duì)象的多種定義方式支持多種方式定義訪問控制對(duì)象: ip/mask(如202.100.100.0/24),ip區(qū)間(如202.100.100.1-202.100.100.254),ip/mask與通配符,ip區(qū)間與通配符等,使配臵防火墻的安全策略極為方便。
■ 高效的url和文件級(jí)細(xì)粒度應(yīng)用層管理控制;應(yīng)用層安全控制策略主要針對(duì)常用的網(wǎng)絡(luò)應(yīng)用協(xié)議http和ftp,控制策略可以實(shí)現(xiàn)定義訪問源對(duì)象到目標(biāo)對(duì)象間的常用協(xié)議命令通過防火墻的權(quán)限,源對(duì)象可以是網(wǎng)段、主機(jī)。http和ftp的協(xié)議端口用戶可根據(jù)實(shí)際情況在策略中定義,協(xié)議命令為http和ftp的主要常用命令。通過應(yīng)用層策略實(shí)現(xiàn)了url和文件級(jí)的訪問控制。
■ 雙向nat,提供ip地址轉(zhuǎn)換和ip及tcp/udp端口映射,實(shí)現(xiàn)ip復(fù)用和隱藏網(wǎng)絡(luò)結(jié)構(gòu):nat在ip層上通過地址轉(zhuǎn)換提供ip復(fù)用功能,解決ip地址不足的問題,同時(shí)隱藏了內(nèi)部網(wǎng)的結(jié)構(gòu),強(qiáng)化了內(nèi)部網(wǎng)的安全。網(wǎng)絡(luò)衛(wèi)士防火墻提供了nat功能,并可根據(jù)用戶需要靈活配臵。當(dāng)內(nèi)部網(wǎng)用戶需要對(duì)外訪問時(shí),防火墻系統(tǒng)將訪問主體轉(zhuǎn)化為自己,并將結(jié)果透明地返回用戶,相當(dāng)于一個(gè)ip層代理。防火墻的地址轉(zhuǎn)換是基于安全控制策略的轉(zhuǎn)換,可以針對(duì)具體的通信事件進(jìn)行地址轉(zhuǎn)換。internet用戶訪問對(duì)內(nèi)部網(wǎng)絡(luò)中具有保留ip主機(jī)的訪問,可以利用反向nat實(shí)現(xiàn),即為內(nèi)部網(wǎng)絡(luò)主機(jī)在防火墻上映射一注冊(cè)ip地址,這樣internet 用戶就可以通過防火墻系統(tǒng)訪問主機(jī)了。映射類型可以為ip級(jí)和端口級(jí)。端口映射
■阻止activex、java、javascript等侵入:屬于http內(nèi)容過濾,防火墻能夠從http頁面剝離activex、javaapplet等小程序及從script、php和asp等代碼檢測(cè)出危險(xiǎn)的代碼,同時(shí),能夠過濾用戶上載的cgi、asp等程序。
■ 提供實(shí)時(shí)監(jiān)控、審計(jì)和告警功能:網(wǎng)絡(luò)衛(wèi)士防火墻提供對(duì)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控,當(dāng)發(fā)現(xiàn)攻擊和危險(xiǎn)行為時(shí),防火墻提供告警等功能。
■ 可擴(kuò)展支持第三方ids入侵檢測(cè)系統(tǒng),實(shí)現(xiàn)協(xié)同工作:網(wǎng)絡(luò)衛(wèi)士防火墻支持topsec協(xié)議,可與第三方ids產(chǎn)品實(shí)現(xiàn)無縫集成,協(xié)同工作。
(3)用戶認(rèn)證
因?yàn)槠髽I(yè)網(wǎng)絡(luò)為本地用戶、移動(dòng)用戶和各種遠(yuǎn)程用戶提供信息資源,所以為了保護(hù)網(wǎng)絡(luò)和信息安全,必須對(duì)訪問連接用戶采用有效的權(quán)限控制和身份識(shí)別,以確保系統(tǒng)安全。
■ 提供高安全強(qiáng)度的一次性口令(otp)用戶認(rèn)證:一次性口令認(rèn)證機(jī)制是高強(qiáng)度的認(rèn)證機(jī)制,能極大地提高了訪問控制的安全性,有效阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò),保證網(wǎng)絡(luò)系統(tǒng)的合法使用。一次性口令用戶認(rèn)證的基本過程是:首先用戶向防火墻發(fā)送身份認(rèn)證請(qǐng)求,并指明自己的用戶名,防火墻收到請(qǐng)求后,向用戶提出挑戰(zhàn)及同步信息,用戶收到此信息后,結(jié)合自己的口令,產(chǎn)生一次性口令并發(fā)送給防火墻,防火墻判斷用戶答復(fù)是否正確以鑒別用戶的合法性,為防止口令猜測(cè),如果用戶連續(xù)三次認(rèn)證失敗則在一定時(shí)間內(nèi)禁止該用戶認(rèn)證。由于采用一次性的口令認(rèn)證機(jī)制,即使竊聽者在網(wǎng)絡(luò)上截取到口令,由于該口令的有效期僅為一次,故也無法再利用這個(gè)口令進(jìn)行認(rèn)證鑒別。在實(shí)際應(yīng)用中,用戶采用一次性口令登錄程序登陸時(shí),防火墻向用戶提供一個(gè)種子及同步次數(shù),登錄程序根據(jù)用戶輸入的口令、種子、同步次數(shù)計(jì)算出一次性口令并傳給防火墻.用戶可以在不同的服務(wù)器上使用不同的種子而口令相同,每次在網(wǎng)絡(luò)上傳輸?shù)目诹钜膊煌脩艨梢远ㄆ诟淖兎N子來達(dá)到更高的安全目標(biāo).■ 可擴(kuò)展支持第三方認(rèn)證和支持智能ic卡、ikey等硬件方式認(rèn)證:網(wǎng)絡(luò)衛(wèi)士防火墻有很好的擴(kuò)展性,可擴(kuò)展支持radius等認(rèn)證,提供撥號(hào)用戶等安全訪問。也可通過擴(kuò)展支持支持職能ic卡、ikey等硬件方式認(rèn)證。
(4)安全管理
■ 提供基于otp機(jī)制的管理員認(rèn)證。
■ 提供分權(quán)管理安全機(jī)制;提供管理員和審計(jì)員分權(quán)管理的安全機(jī)制,保證安全產(chǎn)品的安全管理。
過濾規(guī)則的數(shù)目是有限制的,且隨著規(guī)則數(shù)目的增加,性能會(huì)受到很大地影響;由于缺少上下文關(guān)聯(lián)信息,不能有效地過濾如UDP、RPC(遠(yuǎn)程過程調(diào)用)一類的協(xié)議;另外,大多數(shù)過濾器中缺少審計(jì)和報(bào)警機(jī)制,它只能依據(jù)包頭信息,而不能對(duì)用戶身份進(jìn)行驗(yàn)證,很容易受到“地址欺騙型”攻擊。對(duì)安全管理人員素質(zhì)要求高,建立安全規(guī)則時(shí),必須對(duì)協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此,過濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用,共同組成防火墻系統(tǒng)。
■ 應(yīng)用代理(Application Proxy)型
應(yīng)用代理型防火墻是工作在OSI的最高層,即應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流,通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示。
在代理型防火墻技術(shù)的發(fā)展過程中,它也經(jīng)歷了兩個(gè)不同的版本:第一代應(yīng)用網(wǎng)關(guān)型代理防火和第二代自適應(yīng)代理防火墻。
代理類型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層,所以它可以對(duì)網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù),而不是像包過濾那樣,只是對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。
另外代理型防火墻采取是一種代理機(jī)制,它可以為每一種應(yīng)用服務(wù)建立一個(gè)專門的代理,所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的,而都需先經(jīng)過代理服務(wù)器審核,通過后再由代理服務(wù)器代為連接,根本沒有給內(nèi)、外部網(wǎng)絡(luò)計(jì)算機(jī)任何直接會(huì)話的機(jī)會(huì),從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)。
代理防火墻的最大缺點(diǎn)是速度相對(duì)比較慢,當(dāng)用戶對(duì)內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí),代理防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。那因?yàn)榉阑饓π枰獮椴煌木W(wǎng)絡(luò)服務(wù)建立專門的代理服務(wù),在自己的代理程序?yàn)閮?nèi)、外部網(wǎng)絡(luò)用戶建立連接時(shí)需要時(shí)間,所以給系統(tǒng)性能帶來了一些負(fù)面影響,但通常不會(huì)很明顯。
(3)從防火墻結(jié)構(gòu)上分類
從防火墻結(jié)構(gòu)上分,防火墻主要有:單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。
單一主機(jī)防火墻是最為傳統(tǒng)的防火墻,獨(dú)立于其它網(wǎng)絡(luò)設(shè)備,它位于網(wǎng)絡(luò)邊界。
0
信進(jìn)行過濾。它屬于最新的防火墻技術(shù)之一,性能最好,價(jià)格也最貴。
(5)按防火墻性能分類
按防火墻的性能來分可以分為百兆級(jí)防火墻和千兆級(jí)防火墻兩類。
因?yàn)榉阑饓νǔN挥诰W(wǎng)絡(luò)邊界,所以不可能只是十兆級(jí)的。這主要是指防火的通道帶寬(Bandwidth),或者說是吞吐率。當(dāng)然通道帶寬越寬,性能越高,這樣的防火墻因包過濾或應(yīng)用代理所產(chǎn)生的延時(shí)也越小,對(duì)整個(gè)網(wǎng)絡(luò)通信性能的影響也就越小。
雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。
1.4 各類防火墻的優(yōu)缺點(diǎn)
(1)包過濾防火墻
使用包過濾防火墻的優(yōu)點(diǎn)包括:
■ 防火墻對(duì)每條傳入和傳出網(wǎng)絡(luò)的包實(shí)行低水平控制。
■ 每個(gè)IP包的字段都被檢查,例如源地址、目的地址、協(xié)議、端口等。防火墻將基于這些信息應(yīng)用過濾規(guī)則。
■ 防火墻可以識(shí)別和丟棄帶欺騙性源IP地址的包。
■ 包過濾防火墻是兩個(gè)網(wǎng)絡(luò)之間訪問的唯一來源。因?yàn)樗械耐ㄐ疟仨毻ㄟ^防火墻,繞過是困難的。
■ 包過濾通常被包含在路由器數(shù)據(jù)包中,所以不必額外的系統(tǒng)來處理這個(gè)特征。
使用包過濾防火墻的缺點(diǎn)包括:
■ 配臵困難。因?yàn)榘^濾防火墻很復(fù)雜,人們經(jīng)常會(huì)忽略建立一些必要的規(guī)則,或者錯(cuò)誤配臵了已有的規(guī)則,在防火墻上留下漏洞。然而,在市場(chǎng)上,許多新版本的防火墻對(duì)這個(gè)缺點(diǎn)正在作改進(jìn),如開發(fā)者實(shí)現(xiàn)了基于圖形化用戶界面(GUI)的配臵和更直接的規(guī)則定義。
■ 為特定服務(wù)開放的端口存在著危險(xiǎn),可能會(huì)被用于其他傳輸。例如,Web服務(wù)器默認(rèn)端口為80,而計(jì)算機(jī)上又安裝了RealPlayer,那么它會(huì)搜尋可以允許連接到RealAudio服務(wù)器的端口,而不管這個(gè)端口是否被其他協(xié)議所使用,RealPlayer正好是使用80端口而搜尋的。就這樣無意中,RealPlayer就利用了Web服務(wù)器的端口。
■ 可能還有其他方法繞過防火墻進(jìn)入網(wǎng)絡(luò),例如撥入連接。但這個(gè)并不是
213
也不要忘記了防火墻內(nèi)的安全保障。
其次,防火墻技術(shù)的另外一個(gè)顯著不足是無法有效地應(yīng)付病毒。當(dāng)網(wǎng)絡(luò)內(nèi)的用戶在訪問外網(wǎng)中的含有病毒的數(shù)據(jù)時(shí),防火墻無法區(qū)分帶毒數(shù)據(jù)與正常數(shù)據(jù),內(nèi)部網(wǎng)絡(luò)隨時(shí)都有受到病毒危害的可能,防火墻技術(shù)的這個(gè)缺點(diǎn)給網(wǎng)絡(luò)帶來很大的隱患。
另外,由于防火墻技術(shù)的自身不斷發(fā)展,其自身問題和漏洞也使其具有局限性。防火墻本身作為一個(gè)獨(dú)立的系統(tǒng),其軟、硬件在發(fā)展過程中必然也有其自己的bug和漏洞,所以各種故障和因漏洞所遭受的各種攻擊也不可避免。防火墻的技術(shù)原理與殺毒軟件類似:先出現(xiàn)病毒,殺毒軟件獲得病毒的特征碼,將其加入到病毒庫內(nèi)來實(shí)現(xiàn)查殺。防火墻的防御、檢測(cè)策略,也是在發(fā)生攻擊行為后分析其特征而設(shè)臵的。如果出現(xiàn)新的未知攻擊行為,防火墻也將束手無策。
最后,防火墻的檢測(cè)機(jī)制容易造成擁塞以及溢出現(xiàn)象。由于防火墻需要處理每一個(gè)通過它的數(shù)據(jù)包,所以當(dāng)數(shù)據(jù)流量較大時(shí),容易導(dǎo)致數(shù)據(jù)擁塞,影響整個(gè)網(wǎng)絡(luò)性能。嚴(yán)重時(shí),如果發(fā)生溢出,就像大壩決堤一般,無法阻擋,任何數(shù)據(jù)都可以來去自由了,防火墻也就不再起任何作用。
1.6 防火墻的未來發(fā)展趨勢(shì)
盡管羅列了這么多防火墻技術(shù)的局限性,但防火墻在網(wǎng)絡(luò)安全中所扮演的重要角色是不可撼動(dòng)的。未來的防火墻發(fā)展朝高速、多功能化、更安全的方向發(fā)展。
實(shí)現(xiàn)高速防火墻,可以應(yīng)用ASIC硬件加速技術(shù)、FPGA和網(wǎng)絡(luò)處理器等方法。其中以采用網(wǎng)絡(luò)處理器最好,因?yàn)榫W(wǎng)絡(luò)處理器采用微碼編程,可以根據(jù)需要隨時(shí)升級(jí),甚至可以支持IPv6;并且網(wǎng)絡(luò)處理器中集成了很多硬件協(xié)處理單元,通過算法也比較容易實(shí)現(xiàn)高速。防火墻將會(huì)集成更多的網(wǎng)絡(luò)安全功能,入侵檢測(cè)、防病毒、防御拒絕服務(wù)攻擊等安全技術(shù)都可以模塊形式安裝到防火墻的機(jī)箱內(nèi)。既節(jié)省寶貴的機(jī)柜空間,又能為企業(yè)節(jié)約一部分安全支出,更主要的是可以實(shí)現(xiàn)網(wǎng)絡(luò)安全設(shè)備之間的聯(lián)動(dòng)。防火墻將會(huì)更加的行業(yè)化。
任何一種防火墻只是為內(nèi)部網(wǎng)絡(luò)提供安全保障,但網(wǎng)絡(luò)安全不能完全依賴于防火墻,還需要加強(qiáng)內(nèi)部的安全管理,完善安全管理制度,提高用戶的安全意識(shí),從而形成全方位的安全防御體系。防火墻技術(shù)在校園網(wǎng)中的應(yīng)用
隨著高校信息化進(jìn)程的推進(jìn),學(xué)院校園網(wǎng)上運(yùn)行的應(yīng)用系統(tǒng)越來越多,信息
51617
第三篇:防火墻技術(shù)論文
摘要
隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,上網(wǎng)的人數(shù)不斷地增大,網(wǎng)上的資源也不斷地增加,網(wǎng)絡(luò)的開放性、共享性、互連程度也隨著擴(kuò)大,所以網(wǎng)絡(luò)的安全問題也是現(xiàn)在注重考慮的問題。本文介紹網(wǎng)絡(luò)安全可行的解決方案——防火墻技術(shù),防火墻技術(shù)是近年來發(fā)展起來的一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施,它實(shí)際上是一種訪問控制技術(shù),在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)之間設(shè)置障礙,阻止對(duì)信息資源的非法訪問, 也可以使用它阻止保密信息從受保護(hù)網(wǎng)絡(luò)上被非法輸出。
關(guān)鍵詞:防火墻 網(wǎng)絡(luò)安全 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò)
防火墻技術(shù)
1、什么是防火墻
所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法,它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度,它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò),同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說,如果不通過防火墻,公司內(nèi)部的人就無法訪問Internet,Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。
2、防火墻的類型和各個(gè)類型的特點(diǎn)及原理
防火墻的類型有個(gè)人防火墻、網(wǎng)絡(luò)層防火墻、應(yīng)用層防火墻。2.1、個(gè)人防火墻
個(gè)人防火墻是防止您電腦中的信息被外部侵襲的一項(xiàng)技術(shù),在您的系統(tǒng)中監(jiān)控、阻止任何未經(jīng)授權(quán)允許的數(shù)據(jù)進(jìn)入或發(fā)出到互聯(lián)網(wǎng)及其他網(wǎng)絡(luò)系統(tǒng)。個(gè)人防火墻產(chǎn)品如著名Symantec公司的諾頓、Network Ice公司的BlackIce Defender、McAfee公司的思科及Zone Lab的 free ZoneAlarm 等,都能幫助您對(duì)系統(tǒng)進(jìn)行監(jiān)控及管理,防止特洛伊木馬、spy-ware 等病毒程序通過網(wǎng)絡(luò)進(jìn)入您的電腦或在您未知情況下向外部擴(kuò)散。這些軟件都能夠獨(dú)立運(yùn)行于整個(gè)系統(tǒng)中或針對(duì)對(duì)個(gè)別程序、項(xiàng)目,所以在使用時(shí)十分方便及實(shí)用。2.2、網(wǎng)絡(luò)層防火墻
網(wǎng)絡(luò)層防火墻可視為一種 IP 封包過濾器,運(yùn)作在底層的 TCP/IP 協(xié)議堆棧上。我們可以以枚舉的方式,只允許符合特定規(guī)則的封包通過,其余的一概禁止穿越防火墻。這些規(guī)則通常可以經(jīng)由管理員定義或修改,不過某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。2.3、應(yīng)用層防火墻
應(yīng)用層防火墻是在 TCP/IP 堆棧的“應(yīng)用層”上運(yùn)作,您使用瀏覽器時(shí)所產(chǎn)生的數(shù)據(jù)流或是使用 FTP 時(shí)的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包,并且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。
3、目前防火墻中的最新技術(shù)及發(fā)展情況
因?yàn)閭鹘y(tǒng)的防火墻設(shè)置在網(wǎng)絡(luò)邊界,外于內(nèi)、外部互聯(lián)網(wǎng)之間,所以稱為“邊界防火墻(Perimeter Firewall)”。隨著人們對(duì)網(wǎng)絡(luò)安全防護(hù)要求的提高,邊界防火墻明顯感覺到力不從心,因?yàn)榻o網(wǎng)絡(luò)帶來安全威脅的不僅是外部網(wǎng)絡(luò),更多的是來自內(nèi)部網(wǎng)絡(luò)。但邊界防火墻無法對(duì)內(nèi)部網(wǎng)絡(luò)實(shí)現(xiàn)有效地保護(hù),除非對(duì)每一臺(tái)主機(jī)都安裝防火墻,這是不可能的。基于此,一種新型的防火墻技術(shù),分布式防火墻(Distributed Firewalls)技術(shù)產(chǎn)生了。由于其優(yōu)越的安全防護(hù)體系,符合未來的發(fā)展趨勢(shì),所以這一技術(shù)一出現(xiàn)便得到許多用戶的認(rèn)可和接受,它具有很好的發(fā)展前景。
分布式防火墻的特點(diǎn):主機(jī)駐留、嵌入操作系統(tǒng)內(nèi)核、類似于個(gè)人防火墻、適用于服務(wù)器托管。
分布式防火墻的功能:Internet訪問控制、應(yīng)用訪問控制、網(wǎng)絡(luò)狀態(tài)監(jiān)控、黑客攻擊的防御、日志管理、系統(tǒng)工具。
分布式防火墻的優(yōu)勢(shì):
(1)增強(qiáng)的系統(tǒng)安全性:增加了針對(duì)主機(jī)的入侵檢測(cè)和防護(hù)功能,加強(qiáng)了對(duì)來自內(nèi)部攻擊防范,可以實(shí)施全方位的安全策略。
(2)提高了系統(tǒng)性能:消除了結(jié)構(gòu)性瓶頸問題,提高了系統(tǒng)性能。
(3)系統(tǒng)的擴(kuò)展性:分布式防火墻隨系統(tǒng)擴(kuò)充提供了安全防護(hù)無限擴(kuò)充的能力。
(4)實(shí)施主機(jī)策略:對(duì)網(wǎng)絡(luò)中的各節(jié)點(diǎn)可以起到更安全的防護(hù)。
(5)應(yīng)用更為廣泛,支持VPN通信。
4、個(gè)人防火墻的設(shè)計(jì)與實(shí)現(xiàn)
4.1、研究內(nèi)容及其意義
本文提出了一種基于Linux的個(gè)人防火墻來保證網(wǎng)絡(luò)安全的解決方案,該防火墻主要分成3個(gè)模塊來實(shí)現(xiàn),它們分別是數(shù)據(jù)包捕獲模塊、數(shù)據(jù)處理模塊、過濾規(guī)則設(shè)置和查詢模塊。文章首先講述了數(shù)據(jù)包進(jìn)行捕獲,提取數(shù)據(jù)包頭信息,然將包頭信息傳遞給數(shù)據(jù)包處理部分,并與包頭信息進(jìn)行匹配和處理,將處理后的信息寫入日志數(shù)據(jù)庫,規(guī)則設(shè)置模塊則對(duì)數(shù)據(jù)庫進(jìn)行添加規(guī)則和顯示相應(yīng)的日志信息
包過濾防火墻是實(shí)現(xiàn)防火墻基本功能的最重要最基礎(chǔ)的原型,是學(xué)習(xí)防火墻技術(shù)的必經(jīng)之路,也為進(jìn)一步設(shè)計(jì)與提高防火墻性能提供了必要的儲(chǔ)備。4.2、數(shù)據(jù)包處理模塊結(jié)構(gòu)與原理分析
本節(jié)主要介紹了防火墻的數(shù)據(jù)處理的原理,敘述了過濾規(guī)則、調(diào)用數(shù)據(jù)庫數(shù)據(jù)包否決等的實(shí)現(xiàn),最后對(duì)日志數(shù)據(jù)庫的存儲(chǔ)進(jìn)行了簡單介紹。
1、數(shù)據(jù)包處理模塊的結(jié)構(gòu)
網(wǎng)絡(luò)捕獲模塊負(fù)責(zé)從網(wǎng)絡(luò)上截獲所有的數(shù)據(jù)包,而數(shù)據(jù)包處理模塊則是對(duì)截獲的數(shù)據(jù)包根據(jù)數(shù)據(jù)包類型的源地址、目的地址、端口等基本信息逐個(gè)進(jìn)行分析比較。數(shù)據(jù)包處理模塊在對(duì)數(shù)據(jù)包進(jìn)行分析后,根據(jù)數(shù)據(jù)包的特性,調(diào)用特定的過濾匹配規(guī)則確定數(shù)據(jù)包是否可以通過。其結(jié)構(gòu)如圖1 所示。數(shù)據(jù)包過濾功能的實(shí)現(xiàn)是在網(wǎng)絡(luò)中運(yùn)行程序?qū)?shù)據(jù)包實(shí)施有選擇的通過,選擇的依據(jù)就是系統(tǒng)內(nèi) 設(shè)置的過濾規(guī)則,只要與過濾規(guī)則相匹配的的數(shù)據(jù)包就被否決,其余的數(shù)據(jù)包則默認(rèn)允許通過,并將這些過濾信息存入相應(yīng)的數(shù)據(jù)庫。其流程圖如圖2 所示。
圖1 數(shù)據(jù)處理模塊示意圖
圖2 數(shù)據(jù)包處理流程圖
2、數(shù)據(jù)包處理模塊原理分析(1)過濾規(guī)則
本系統(tǒng)采用的默認(rèn)過濾規(guī)則是:默認(rèn)接收所有的進(jìn)入、外出和轉(zhuǎn)發(fā)數(shù)據(jù)包;接收所有本地環(huán)路接口上的進(jìn)出包。當(dāng)要有選擇地接收數(shù)據(jù)包時(shí),本地的過濾規(guī)則需要進(jìn)行相應(yīng)的設(shè)置。比如:現(xiàn)在要拒絕IP地址為192.168.0.161(局域網(wǎng)內(nèi)的一主機(jī)的IP地址)的主機(jī)與本地主機(jī)通信,在用戶相應(yīng)的選項(xiàng)卡中,填上這一I地址就是表示拒絕此IP地址主機(jī)向本機(jī)發(fā)出的所有數(shù)據(jù)包,這就是數(shù)據(jù)包的IP 過濾功能。
當(dāng)然也要實(shí)現(xiàn)端口的過濾功能。比如:想禁止某一服務(wù)的業(yè)務(wù)功能,就可以在相應(yīng)的IP 號(hào)下同時(shí)設(shè)置端口號(hào),就是表示對(duì)任一用戶的這一服務(wù)被禁止。其實(shí),這只能對(duì)某一些常用的端口號(hào)進(jìn)行過濾,如:對(duì)HTTP(端口80)進(jìn)行過濾,就是禁止外部用戶通過防火墻訪問內(nèi)部HTTP 服務(wù)器;對(duì)FTP(端口20,21)進(jìn)行過濾,就是禁止外部主機(jī)通過防火墻訪問內(nèi)部FTP服務(wù)器。
數(shù)據(jù)處理模塊用到的過濾規(guī)則將在用戶界面中直接對(duì)規(guī)則數(shù)據(jù)庫操作進(jìn)而來設(shè)置要過濾的規(guī)則,而數(shù)據(jù)處理模塊則從數(shù)據(jù)庫中直接調(diào)用。因此,過濾規(guī)則是在數(shù)據(jù)庫中定義,由用戶在數(shù)據(jù)庫操作界面上輸入的,供底層應(yīng)用程序調(diào)用。(2)調(diào)用過濾規(guī)則數(shù)據(jù)庫
程序調(diào)用過濾規(guī)則數(shù)據(jù)庫來判斷捕獲的數(shù)據(jù)包頭信息是否與過濾規(guī)則庫中設(shè)置的IP 以及端口匹配。因此,它保存的是不被允許通過的IP 號(hào)或者端口號(hào),在每次數(shù)據(jù)調(diào)用時(shí),都要進(jìn)行調(diào)用規(guī)則,如果與捕獲到的數(shù)據(jù)包頭信息符合,則丟棄該數(shù)據(jù)包,否則就允許該數(shù)據(jù)包通過。
首先要連接并打開過濾規(guī)則數(shù)據(jù)庫,從規(guī)則庫中讀取被禁止的IP以及端口號(hào),匹配后根據(jù)情況執(zhí)行拒絕或者允許通過的命令。MySQL 數(shù)據(jù)庫提供了一種數(shù)據(jù)庫接口-CAPIs,MySQL數(shù)據(jù)庫提供的CAPIs函數(shù)。CAPIs包含在mysqlclient庫文件當(dāng)中與MySQL 的源代碼一塊發(fā)行,用于連接到數(shù)據(jù)庫和執(zhí)行數(shù)據(jù)庫查詢。
現(xiàn)在假設(shè)MySQL 已安裝,在數(shù)據(jù)庫中的相關(guān)用戶和數(shù)據(jù)表已被創(chuàng)造。MySQL 的頭文件在/usr/include/mysql 目錄下,因此你的程序頭部必須有以下語句:include
為了實(shí)現(xiàn)連接,首先必須創(chuàng)建一個(gè)連接數(shù)據(jù)庫的變量:MYSQL *mysql。MYSQL 這個(gè)結(jié)構(gòu)表示對(duì)一個(gè)數(shù)據(jù)庫連接的句柄,它被用于幾乎所有的MySQL 函數(shù)。這些變量類型在MySQL 的庫當(dāng)中已有定義,我們需要這些變量是為了使用MySQL的C APIs函數(shù)。這些變量在頭文件里都有詳細(xì)的實(shí)現(xiàn)代碼和解釋,但是這些實(shí)現(xiàn)代碼和解釋對(duì)于程序編寫來說并不重要。
為了連接服務(wù)器,調(diào)用函數(shù)mysql_init()以初始化一個(gè)連處理器,初始化這個(gè)變量:Mysql_init(MYSQL *mysql);然后就用以下函數(shù)實(shí)現(xiàn)對(duì)數(shù)據(jù)庫的連接:MYSQL * STDCALL mysql_real_connect(MYSQLysql,const char *host,const char *user,const char *passwd,const char *db,unsigned int port,const char *unix_socket,unsigned int clientflag)。
此函數(shù)是一個(gè)非常重要的函數(shù),其功能是連接一個(gè)MYSQL 數(shù)據(jù)庫服務(wù)器。它試圖建立到運(yùn)行MySQL 數(shù)據(jù)庫引擎的HOST 的一個(gè)連接。host 是MySQL 服務(wù)器的主機(jī)名,是一個(gè)現(xiàn)存MySQL 軟件的主機(jī)地址。它可以是主機(jī)名或者是一個(gè)IP地址,假定它為NULL或者字符串“l(fā)ocalhost”,則是到本地主機(jī)的一個(gè)連接。user是登錄的用戶名,passwd是登錄密碼,db 是要連接的數(shù)據(jù)庫,port 是MySQL服務(wù)器的TCP/IP端口,unix_socket是連接類型,clientflag是MySQL運(yùn)行成ODBC 數(shù)據(jù)庫的標(biāo)記。參數(shù)PORT 若不是0,對(duì)于TCP/IP連接這個(gè)值將用作端口號(hào)。參數(shù)unix_socket如果不是NULL,字符串指定套接字或應(yīng)將是被使用的命名管道。參數(shù)clientflag的值通常是0。連接尋建立成功后,這個(gè)函數(shù)將返回0。至此,對(duì)數(shù)據(jù)庫連接的功能基本已實(shí)現(xiàn),然后就可以對(duì)數(shù)據(jù)庫進(jìn)行查詢和添加等操作了。這是連接數(shù)據(jù)庫的第一步,也是一個(gè)比較關(guān)鍵的地方,此連接返回的數(shù)值關(guān)系到此程序調(diào)用的各種基本信息。現(xiàn)在,我們可以連接數(shù)據(jù)庫并進(jìn)行查詢。查詢之前,建立個(gè)查詢語句字符串: har *query。這樣可以創(chuàng)立任何SQL 查詢語句進(jìn)行查詢。
查詢之后,我們要到一個(gè)MYSQL_RES 變量來使用查詢的結(jié)果。以下這行創(chuàng)立這個(gè)變量:MYSQL_RES *res。
MYSQL_RES 這個(gè)結(jié)構(gòu)代表返回行的一個(gè)查詢的(SELECT,SHOW,DESCRIBE,EXPLAIN)的結(jié)果,返回的數(shù)據(jù)稱為“數(shù)據(jù)集”。然后用mysql_use_result(MYSQL*query)。
函數(shù)讀出查詢結(jié)果。mysql_use_result()的一個(gè)優(yōu)點(diǎn)是客戶為結(jié)果集合需要較少的內(nèi)存,因?yàn)樗淮沃皇蔷S持一行(并且因?yàn)橛休^少的分配開銷,mysql_use_result()能更快些)。缺點(diǎn)是你必須盡快處理每一行以避免困住服務(wù)器,你不必再結(jié)果集合中隨意存取行(你只能順序存取行),而且你不知道在結(jié)果集合中有多少行,直到你檢索全部結(jié)果。還有,你必須檢索出所有行,即使你在檢索中途確定你已找到了想尋找的信息。盡管可以很容易地查詢了,要用這個(gè)查詢的結(jié)果還要用到其它的函數(shù)。第一個(gè)是:MYSQL_ROW STDCALL mysql_fetch_row(MYSQL_RES *result)。
該函數(shù)把結(jié)果轉(zhuǎn)換成“數(shù)組”。該函數(shù)返回的是MYSQL_ROW 變量類型。MYSQL_ROW 這個(gè)結(jié)構(gòu)是數(shù)據(jù)行的一個(gè)安全表示法。當(dāng)前它實(shí)現(xiàn)為一個(gè)計(jì)數(shù)字節(jié)的字符串?dāng)?shù)組(如果字段值可能包含二進(jìn)制數(shù)據(jù),不能將這些視為空終止串 因?yàn)檫@樣的值可以在內(nèi)部包含空字節(jié)),行通過調(diào)用其它函數(shù)獲得。無法使用以空字符結(jié)束的串,因?yàn)閿?shù)據(jù)在這個(gè)串可以是二進(jìn)制,也許沒有包括任何字符。
以下語句創(chuàng)立字符串?dāng)?shù)組變量:MYSQL_ROW row。
當(dāng)我們用mysql_fetch_row的時(shí)候,接著變量row會(huì)取得結(jié)果的下一組數(shù)據(jù)。當(dāng)?shù)搅私Y(jié)果的尾部,該函數(shù)返回一負(fù)值。最后我們查詢完成后就要關(guān)閉這個(gè)連接了。mysql_close(MYSQL *mysql)。另外,還有一些與本程序相關(guān)的操作函數(shù):unsigned int STDCALL mysql_num_fields(MYSQL*mysql)。這個(gè)函數(shù)返回表格里有多少個(gè)字段;取得“數(shù)據(jù)集”的數(shù)目,用到:my_ulonglong STDCALL mysql_num_rows(MYSQL_RES *res);my_ulonglong STDCALL mysql_affected_rows(MYSQL*mysql)。
這些函數(shù)是用來得到受INSERT、DELETE、UPDATE 查詢語句影響的“數(shù)據(jù)集”數(shù)目。my_ulonglong該類型用于行數(shù)。這種類型提供0到1。84e19的一個(gè)范圍,為了打印出這樣的值,將它變換到unsigned long并且使用一個(gè)%lu打印格式。
3、與過濾規(guī)則中規(guī)則對(duì)比
(1)數(shù)據(jù)包源或目的IP地址過濾
這項(xiàng)任務(wù)要檢查IP包頭,根據(jù)其IP源地址和目標(biāo)地址作出放行/ 丟棄決定。如果數(shù)據(jù)包的源或目的IP 地址與我們?cè)O(shè)定的丟棄數(shù)據(jù)包的地址匹配,那么該數(shù)據(jù)包將被丟棄。首選要檢查收到的數(shù)據(jù)包的源IP(在本程序中只對(duì)UDP數(shù)據(jù)報(bào)進(jìn)行了實(shí)驗(yàn),其它協(xié)議的數(shù)據(jù)包以此類推),若為本地地址則一定丟棄,其他地址則要應(yīng)用過濾規(guī)則。unsigned char *deny_ip =“x7fx00x00x01”;
/* 127.0.0.1 */ if(ss==*(unsigned int *)deny_ip){
flag=1;
},接著就是檢查源IP與設(shè)定的禁止的IP地址進(jìn)行匹配:if(ss== row[t]){flag=1;}row[t]是規(guī)則數(shù)據(jù)庫中的返回查詢值,變量flag則為丟棄行為時(shí)的依據(jù)。
(2)數(shù)據(jù)包傳送協(xié)議過濾
僅僅依靠地址進(jìn)行數(shù)據(jù)過濾在實(shí)際運(yùn)用中是不可行的,還有個(gè)原因就是目標(biāo)主機(jī)上往往運(yùn)行著多種通信服務(wù),因此除地址之外還要對(duì)服務(wù)器的TCP/UDP 端口進(jìn)行過濾。只要在數(shù)據(jù)捕獲程序的檢查出相應(yīng)的數(shù)據(jù)包傳輸協(xié)議之后,在其后只要運(yùn)行拒絕命令就行了。一般來說最好匹配規(guī)則就是IP 地址與端口結(jié)合起來,9 這樣就是只針對(duì)某用戶某一服務(wù)來拒絕,這樣的選擇性更加符合實(shí)際。
(3)對(duì)數(shù)據(jù)包的否決
通過包過濾,防火墻可以攔截和檢查捕獲的數(shù)據(jù)包。當(dāng)該數(shù)據(jù)包不符合過濾規(guī)則或者與過濾規(guī)則相一致時(shí),防火墻就丟掉該數(shù)據(jù)包,并存入日志數(shù)據(jù)庫。由于對(duì)數(shù)據(jù)包的否決是一外部命令,在C語言中可以用execlp()這一函數(shù)來執(zhí)行外部命令。函數(shù)原型為:
int execlp(const char *filename,const char *arg0,.../ *(char *)0*/);比如,拒絕一IP 可以這樣: execlp(“/sbin/iptables”,“iptables”,“-A”,“INPUT”,“-p”,“tcp”,“-s”,ss,“-j”,“DROP”);
對(duì)端口的過濾則只是外部命令的不一樣而已。常用的否決命令有:
iptables-F // 刪除已經(jīng)存在的規(guī)則;
iptables-A INPUT-p tcp--dport *-j DROP // 關(guān)閉某一服務(wù)端口為*的tcp協(xié)議;
iptables-A INPUT-p tcp-s 192.168.0.130--dport22-j ACCEPT // 關(guān)閉某一IP 地址為192.1168.0.130 這臺(tái)主機(jī)連接本地的SSH服務(wù)斷口;
iptables-A INPUT-p udp--dport 53-j ACCEPT // 關(guān)閉DNS 服務(wù)端口的udp 數(shù)據(jù)包流入;
iptables-A INPUT-p icmp-icmp-type echo-re-quest-i eth1-j DROP // 防止死亡之ping,從接口eth1進(jìn)入的icmp 協(xié)議的請(qǐng)求全部丟棄;
根據(jù)服務(wù)器情況,你也可以自行添加規(guī)則。(4)存入日志數(shù)據(jù)庫
對(duì)數(shù)據(jù)包頭分析處理后,可以得到此IP訪問的源IP地址、目的IP 地址、端口以及被拒絕通過的情況。數(shù)據(jù)庫的連接與上文所說的一樣,因此,此處存入的是被拒絕的數(shù)據(jù)包頭信息。而且實(shí)現(xiàn)一樣用到函數(shù):int mysql_real_query(MYSQL*mysql,const char*query,unsigned int length),只是用函數(shù)sprintf()將query值改為插入語句即可,如下:sprintf(query,“insert into logs(remove_ip,local_ip)values(‘%c’,‘%c’”,dd,ss))。這樣就可以將包過濾情況輕易地存入日志數(shù)據(jù)庫,以供用戶查詢包過濾情況。
4.3總結(jié)與展望
本文重點(diǎn)討論了數(shù)據(jù)包頭分析后與過濾規(guī)則的匹配、對(duì)數(shù)據(jù)包的拒絕和日志數(shù)據(jù)庫的存儲(chǔ)。實(shí)驗(yàn)證明達(dá)到了預(yù)期目的。但該防火墻系統(tǒng)的一些功能還有待提高,主要是如下幾個(gè)方面:規(guī)則設(shè)置規(guī)則有待于進(jìn)一步探討,這關(guān)系數(shù)據(jù)包過濾的依據(jù);包頭信息提取還過于簡單,提取出來供包處理模塊的內(nèi)容有待加強(qiáng);應(yīng)用層信息無法感知,也就是說,防火墻不理解通信的內(nèi)容,這是狀態(tài)檢測(cè)發(fā)展方向。
基于以上等原因包過濾防火墻已經(jīng)逐漸被狀態(tài)檢測(cè)防火墻所取代,雖然狀態(tài)檢測(cè)防火墻判斷允許還是禁止數(shù)據(jù)包的依據(jù)也是源IP地址、目的IP地址、源端口、目的端口和通訊協(xié)議等,但狀態(tài)檢測(cè)防火墻是基于會(huì)話信息做出決策的,判斷當(dāng)前數(shù)據(jù)包是否符合先前允許的會(huì)話。NAT 功能可以使得防火墻受保護(hù)一邊的IP 地址不至于暴露在沒有保護(hù)的另一邊。
新一代的防火墻系統(tǒng)不僅能夠更好地保護(hù)防火墻后面內(nèi)部網(wǎng)絡(luò)的安全,而且應(yīng)該有更為優(yōu)良的整體性能。未來的防火墻將會(huì)把最強(qiáng)的性能和最大限度的安全性有機(jī)結(jié)合在一起,有效地解決網(wǎng)絡(luò)安全的問題。當(dāng)然防火墻只是確保網(wǎng)絡(luò)安全的一個(gè)環(huán)節(jié),還需要和其他安全措施一起來確保網(wǎng)絡(luò)安全,如和IDS、IPS、信息保障等結(jié)合起來,在此不作贅述。結(jié)論
隨著Internet/Intranet技術(shù)的飛速發(fā)展,網(wǎng)絡(luò)安全問題必將愈來愈引起人們的重視。防火墻技術(shù)作為目前用來實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段,它主要是用來拒絕未經(jīng)授權(quán)用戶的訪問,阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù),同時(shí)允許合法用戶不受妨礙的訪問網(wǎng)絡(luò)資源。如果使用得當(dāng),可以在很大程度上提高網(wǎng)絡(luò)安全。但是沒有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問題,比如防火墻雖然能對(duì)來自外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的保護(hù),但對(duì)于來自網(wǎng)絡(luò)內(nèi)部的攻擊卻無能為力。事實(shí)上60%以上的網(wǎng)絡(luò)安全問題來自網(wǎng)絡(luò)內(nèi)部。因此網(wǎng)絡(luò)安全單靠防火墻是不夠的,還需要有其它技術(shù)和非技術(shù)因素的考慮,如信息加密技術(shù)、身份驗(yàn)證技術(shù)、制定網(wǎng)絡(luò)法規(guī)、提高網(wǎng)絡(luò)管理人員的安全意識(shí)等等。
第四篇:防火墻技術(shù)論文
防火墻技術(shù)論文
在學(xué)習(xí)和工作中,大家都跟論文打過交道吧,論文寫作的過程是人們獲得直接經(jīng)驗(yàn)的過程。相信很多朋友都對(duì)寫論文感到非常苦惱吧,以下是小編為大家整理的防火墻技術(shù)論文,希望對(duì)大家有所幫助。
防火墻技術(shù)論文1摘要:計(jì)算機(jī)網(wǎng)絡(luò)安全是新時(shí)代關(guān)注度很高的一個(gè)問題,在此先從計(jì)算機(jī)網(wǎng)絡(luò)自身、外界因素和安全評(píng)估技術(shù)三方面,談了談?dòng)绊懢W(wǎng)絡(luò)安全的因素。然后主要介紹了一種防火墻技術(shù),包括它的含義、功能,以及在網(wǎng)絡(luò)中的應(yīng)用。
關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò)安全;防火墻技術(shù);安全評(píng)估
引言
計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)在當(dāng)前社會(huì)各個(gè)領(lǐng)域都有應(yīng)用,方便了人們交流,改變了人們的工作方式,也是世界實(shí)現(xiàn)一體化的重要手段。同時(shí),網(wǎng)絡(luò)安全問題也成了關(guān)注的重點(diǎn),常會(huì)有一些病毒和惡意攻擊,使得網(wǎng)絡(luò)安全沒有保障,甚至出現(xiàn)信息被盜、賬號(hào)失竊等事件,有時(shí)會(huì)釀成巨大損失。防火墻是保護(hù)網(wǎng)絡(luò)安全的一種技術(shù),使用也較為普遍,然而面對(duì)越來越高明的破壞手段,防火墻技術(shù)還需進(jìn)一步完善。
1影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素分析
1.1網(wǎng)絡(luò)自身
網(wǎng)絡(luò)雖然打破了地域限制,為人們交流提供了諸多方便,但其本身具有開放性和虛擬性。除了一些比較特殊的情況,網(wǎng)絡(luò)大部分時(shí)間是開放的,每個(gè)用戶都可以登錄,在任何有網(wǎng)的地方都能用,一旦開放了,必然會(huì)有良莠不齊的東西同時(shí)出現(xiàn)。網(wǎng)絡(luò)世界是虛擬的,是無限的,管理起來非常難,難免會(huì)有一些不法分子進(jìn)行破壞。再者,目前流行的操作系統(tǒng),如Windows、Unix等,都存在不同程度的漏洞。在當(dāng)前信息化時(shí)代,信息網(wǎng)絡(luò)技術(shù)迅速發(fā)展,產(chǎn)品更新速度很快,但網(wǎng)絡(luò)安全技術(shù)卻相對(duì)滯后,跟不上網(wǎng)絡(luò)的發(fā)展速度。
1.2外界因素
包括局域網(wǎng)內(nèi)外部的攻擊,多是些非法用戶利用其他用戶的身份,登陸后篡改數(shù)據(jù)、盜竊信息,破壞應(yīng)用系統(tǒng)。病毒是網(wǎng)絡(luò)安全的一大危害,網(wǎng)絡(luò)連接著世界各地,一旦有病毒侵入,會(huì)快速向外傳播,破壞力非常大。不法分子攻擊是另一大危害,多是些違法亂紀(jì)分子,利用網(wǎng)絡(luò)漏洞惡意入侵,侵犯他人隱私。有些軟件和操作系統(tǒng)在編寫時(shí)留有后門,常被不法分子所利用。此外,計(jì)算機(jī)是物理硬件,若被破壞或者受到周圍環(huán)境影響,也會(huì)影響到網(wǎng)絡(luò)安全。
1.3安全評(píng)估技術(shù)落后
防范不法分子入侵,保護(hù)網(wǎng)絡(luò)安全,需要有一套健全的安全評(píng)估系統(tǒng),能夠?qū)W(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控,并作出全面評(píng)估。一旦發(fā)現(xiàn)漏洞,或正在被攻擊的薄弱區(qū),可及時(shí)進(jìn)行修復(fù)防范,降低被攻擊的可能性。然而我國目前的網(wǎng)絡(luò)安全評(píng)估系統(tǒng),不管是在監(jiān)控上,還是評(píng)估上,都較為落后,無法提供一個(gè)良好的網(wǎng)絡(luò)環(huán)境。
2防火墻技術(shù)的應(yīng)用分析
2.1含義
防火墻是一種隔離技術(shù),是利用軟件和硬件在內(nèi)部網(wǎng)和外部網(wǎng)之間形成的保護(hù)屏障,是監(jiān)控?cái)?shù)據(jù)包和網(wǎng)絡(luò)通信流入流出的一個(gè)安全網(wǎng)關(guān)。只有經(jīng)過用戶同意,其他用戶或者數(shù)據(jù)才能進(jìn)來,而且還能夠把不同意的用戶攔在外面。
2.2安全功能
首先是報(bào)警功能,當(dāng)有外來用戶要進(jìn)入時(shí),防火墻會(huì)發(fā)出消息通知用戶,令用戶自我判斷是否同意。對(duì)于本局域內(nèi)的其他用戶。防火墻都可以查詢,還能顯示用戶機(jī)名。對(duì)于不允許的外來用戶,機(jī)主可以利用防火墻進(jìn)行設(shè)置,即黑白名單功能。其次,通過防火墻還能查看數(shù)據(jù)流量,和上傳下載的速度等信息。對(duì)于計(jì)算機(jī)內(nèi)部的服務(wù)程序,防火墻既能查看,又能啟動(dòng)關(guān)閉。系統(tǒng)日志功能指的是防火墻對(duì)系統(tǒng)安全狀態(tài)以及每日流量的記錄。
2.3應(yīng)用
防火墻是保護(hù)網(wǎng)絡(luò)安全的一種有效的方法,其管理主要分有以下兩種。首先是單防火墻和單子網(wǎng),網(wǎng)絡(luò)資源是極其豐富的,各種資源面臨的風(fēng)險(xiǎn)也有所差異。其風(fēng)險(xiǎn)主要體現(xiàn)在兩點(diǎn),一是資源自身的風(fēng)險(xiǎn),二是在其他因素影響下的風(fēng)險(xiǎn)。與只提供靜態(tài)網(wǎng)頁的服務(wù)器相比,若某服務(wù)器正在運(yùn)行CGI,顯然更被用戶喜歡,不過服務(wù)器的各種安全問題也會(huì)相繼出現(xiàn)。這時(shí),網(wǎng)絡(luò)安全管理人員若安裝了防火墻,網(wǎng)絡(luò)的風(fēng)險(xiǎn)將有所減少。計(jì)算機(jī)網(wǎng)絡(luò)中的很多信息都是存在數(shù)據(jù)庫的,信息的敏感性要遠(yuǎn)高于網(wǎng)絡(luò)服務(wù)器,這就要求再設(shè)一層保護(hù)層。單防火墻和單子網(wǎng)安全系統(tǒng)把全部的服務(wù)器都裝在了同一個(gè)子網(wǎng)內(nèi),內(nèi)部網(wǎng)和內(nèi)外邊界路由器之間構(gòu)建防火墻,能夠很好地抵抗來自外部的各種攻擊。這種模式不但服務(wù)器安全更有保障,應(yīng)用系統(tǒng)也能得到有效的保護(hù)。因此,如果隔離網(wǎng)絡(luò)服務(wù)器,仍不能為數(shù)據(jù)資料提供安全保障,不妨采取該模式。其次,是單防火墻和多子網(wǎng)模式。有些情況適合劃分為多個(gè)子網(wǎng),此時(shí)網(wǎng)絡(luò)安全管理人員可以將內(nèi)網(wǎng)分為若干子網(wǎng),互相保持獨(dú)立,而不同層的服務(wù)器會(huì)把它們送到不同的子網(wǎng)中。其原理是構(gòu)建一個(gè)防火墻,在防火墻上開放若干端口,然后利用防火墻劃分網(wǎng)絡(luò),彼此獨(dú)立,管有相應(yīng)的層。而數(shù)據(jù)層服務(wù)器只接受中間服務(wù)器數(shù)據(jù)查詢的連接端口,安全性便能得到保障。選擇此模式后,用戶只能直接訪問表述層服務(wù)器,以此類推,表述層服務(wù)器只能訪問中間層服務(wù)器。這種設(shè)計(jì)模式更能反映系統(tǒng)需求,在層控制方面有著良好效果。
3結(jié)束語
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)推動(dòng)了社會(huì)的進(jìn)步,改善了人們的生活方式,但其安全問題也容不得忽視,尤其是那些重要的關(guān)鍵數(shù)據(jù),很可能會(huì)被盜竊,后果不堪設(shè)想。所以,必須擦去有效的防范措施,防火墻便是一種有效的技術(shù),值得推廣應(yīng)用。
參考文獻(xiàn):
[1]梁檳.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全與防火墻技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,20xx,22(06):109-110.[2]趙海峰.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)防火墻的安全技術(shù)[J].電腦開發(fā)與應(yīng)用,20xx,24(10):143-144.[3]李思維.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全影響因素及防范措施[J].科技創(chuàng)新與應(yīng)用,20xx,20(05):176-177.
防火墻技術(shù)論文2由于網(wǎng)絡(luò)保密信息的泄露情況嚴(yán)重和目前惡意網(wǎng)站的頻頻進(jìn)擊,使人們?cè)絹碓街匾曤娔X網(wǎng)絡(luò)信息保護(hù)的可靠性。工作者在處理網(wǎng)絡(luò)信息保護(hù)問題做出的突出貢獻(xiàn)就是研究出了防火墻技術(shù)。這一技術(shù)能夠很好的保障電腦信息的安全性,為電腦中數(shù)據(jù)的可靠性做鋪墊。這一技術(shù)最突出的優(yōu)勢(shì)就是能夠?qū)⑿畔⑦M(jìn)行隔離,既幫助客戶排查多余的信息,又能夠保證網(wǎng)絡(luò)數(shù)據(jù)不被泄露,有力的保障了計(jì)算機(jī)網(wǎng)絡(luò)的順利進(jìn)行。
1防火墻的自身實(shí)用價(jià)值
越來越多的用戶喜歡防火墻技術(shù),并且運(yùn)用這一技術(shù),是因?yàn)槠浔旧硭邆涞臄r截信息、保護(hù)數(shù)據(jù)的功能。本文根據(jù)防火墻的作用,在下文中做了詳細(xì)的介紹。
1.1代理技術(shù)的實(shí)用功能。
代理技術(shù)對(duì)于防火墻來說,本身就是一種極為特殊的。電腦網(wǎng)絡(luò)在工作過程中,代理技術(shù)可以掌控不同區(qū)域的運(yùn)行狀態(tài),而且是高效和可靠的。這一科研成果的功能具體在于:在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)中,代理技術(shù)能夠很好的將其轉(zhuǎn)換,并且還能夠使內(nèi)網(wǎng)和外網(wǎng)互不影響。當(dāng)計(jì)算機(jī)外網(wǎng)在運(yùn)行中被斷開時(shí),內(nèi)網(wǎng)只能夠答應(yīng)代理所下達(dá)的指示。即使在專業(yè)技術(shù)上有一定的缺陷,但是仍然能夠起到清晰視聽的作用。
1.2檢測(cè)技術(shù)的實(shí)用功能
計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行狀態(tài)是檢測(cè)技術(shù)的主要工作,并且是一種新型的科研成果。在網(wǎng)絡(luò)的各個(gè)層面都會(huì)用到這門技術(shù),它能夠檢測(cè)到網(wǎng)絡(luò)連接的狀態(tài),從而增強(qiáng)信息的傳播速度,加大計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行狀態(tài)的保護(hù)力度。它的主要工作就是根據(jù)網(wǎng)絡(luò)狀態(tài),將外部網(wǎng)絡(luò)傳輸?shù)降男畔?dāng)成一部分,并對(duì)其做詳細(xì)解析,進(jìn)而測(cè)試總體的記錄,比較規(guī)則與狀態(tài)這倆者間的不同。
1.3協(xié)議技術(shù)的實(shí)用功能
有一種攻擊叫DOS,它能夠制止整個(gè)服務(wù)器的運(yùn)行,從而讓計(jì)算機(jī)網(wǎng)絡(luò)陷入僵局,與之相聯(lián)系的數(shù)據(jù)也不能獲取。通常來說這類攻擊不會(huì)特別受到限制。如何防止這類攻擊就可以通過協(xié)議技術(shù),它能夠在防火墻里邊進(jìn)行操控,保障計(jì)算機(jī)內(nèi)部系統(tǒng)的順利運(yùn)行。同時(shí),它還能夠幫助不同網(wǎng)絡(luò)獲取信息,連接著服務(wù)器與數(shù)據(jù),直至防火墻順利運(yùn)轉(zhuǎn),它才可以工作。一旦將防火墻裝置于服務(wù)器內(nèi)部,其保護(hù)作用就能夠發(fā)揮出來,使計(jì)算機(jī)網(wǎng)絡(luò)安全問題不被威脅,防止外部網(wǎng)絡(luò)的侵害。打個(gè)比方:服務(wù)器之所以入侵幾率變小,就是因?yàn)榉阑饓υ儐柹舷薜脑O(shè)定,同時(shí)還是外網(wǎng)給內(nèi)網(wǎng)傳輸數(shù)據(jù)的時(shí)機(jī)。正是通過這種方式,在抵御侵害的時(shí)候還可以實(shí)現(xiàn)檢測(cè)信息包的效果。
2計(jì)算機(jī)網(wǎng)絡(luò)程序的安全問題以及防火墻的功能
從大部分的信息調(diào)查中發(fā)現(xiàn),檢測(cè)網(wǎng)絡(luò)信息安全手段都表現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)方面,而防火墻所具備的技術(shù)正是預(yù)防和阻擋,這些都能夠起到保護(hù)信息安全的作用。
2.1訪問手段的使用
訪問網(wǎng)絡(luò)的手段所具備的裝置就是防火墻的關(guān)鍵部分,它能夠讓計(jì)算機(jī)網(wǎng)絡(luò)被控制和規(guī)劃,而且能夠利用優(yōu)化網(wǎng)絡(luò)信息,完善計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。電腦網(wǎng)絡(luò)的順利運(yùn)行離不開防火墻技術(shù),它所計(jì)劃出的手段可以幫助計(jì)算機(jī)網(wǎng)絡(luò)長期處于安全狀態(tài)。防火墻技術(shù)的突出功能就是保護(hù)系統(tǒng)。
(1)這一技術(shù)能夠保護(hù)每一個(gè)部門和領(lǐng)域,并且保證訪問的可靠性能夠確切落實(shí)于并不一樣的單位區(qū)間。
(2)防火墻技術(shù)的又一顯著特征就是它能夠徹查不同的計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的地址與方向,掌握計(jì)算機(jī)的基本特點(diǎn),對(duì)其進(jìn)行規(guī)劃和保護(hù)。
(3)訪問策略會(huì)根據(jù)計(jì)算機(jī)的實(shí)際情況實(shí)施策略,制定與其想適應(yīng)的方案,為了達(dá)到最優(yōu)質(zhì)的效果,它也會(huì)對(duì)方案進(jìn)行調(diào)整。在落實(shí)安全保護(hù)手段時(shí),訪問策略能夠自動(dòng)制作出策略表,方便數(shù)據(jù)的記錄與訪問。然而策略表并不代表它可以進(jìn)行網(wǎng)絡(luò)保護(hù),仍需對(duì)其進(jìn)行調(diào)整。不可否認(rèn)的是策略表對(duì)網(wǎng)絡(luò)的約束已經(jīng)在一定程度上保障了網(wǎng)絡(luò)的安全性。
(4)篩選工作中錯(cuò)誤的時(shí)候,訪問策略也能夠與之同步進(jìn)行,更好的為計(jì)算機(jī)網(wǎng)絡(luò)的可靠性服務(wù)。
2.2使用日志監(jiān)控功能
確保計(jì)算機(jī)在調(diào)查防火墻技術(shù)之后而得到的有用的數(shù)據(jù),這就是日志的重點(diǎn)工作項(xiàng)目。防火墻的保護(hù)重點(diǎn)就是日志,同時(shí),日志在整個(gè)網(wǎng)絡(luò)安全工作中是不可或缺的一部分。在剖析防火墻日志時(shí),不必要做到面面俱到,盡量降低問題的出現(xiàn)率。比方說:由于防火墻技術(shù)的工作程度較強(qiáng),所以只能對(duì)產(chǎn)生的大量數(shù)據(jù)進(jìn)行分門別類,方便監(jiān)測(cè)。可見,防火墻所制成的日志數(shù)據(jù),單單是利用分門別類獲取的,日志搜集的難度并不大,對(duì)許多重要的數(shù)據(jù)也不能進(jìn)行攔截。防火墻安全技術(shù)通過日志的監(jiān)督控制在不斷的增強(qiáng),防火墻技術(shù)的篩查功能也在進(jìn)步,并且能夠改善流量流失情況。而日志監(jiān)控的第一步就是篩選技術(shù)含量高的信息,這種方式還能夠影響著日志的監(jiān)督控制、報(bào)警記錄等。由于其中形成的數(shù)值較完善,所以在篩選時(shí)就比較簡單了。
2.3安全裝置的使用
安全裝置在整個(gè)網(wǎng)絡(luò)系統(tǒng)中可以分割成不同的部分,而安全的重點(diǎn)就是安全保護(hù)部分。防火墻技術(shù)的關(guān)鍵就是安全裝置。要想提高計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)的效率就必須設(shè)創(chuàng)立許多防火墻安全設(shè)置。在隔離部分中,它是較為獨(dú)立的局域網(wǎng),能夠作為內(nèi)部網(wǎng)絡(luò)的一方面。追求的目標(biāo)就是防止內(nèi)部網(wǎng)絡(luò)信息流失,保障網(wǎng)絡(luò)的安全運(yùn)行,營造和諧的網(wǎng)絡(luò)氛圍。而安全裝置的隔離功能與一般的保護(hù)功能截然不同。它具備一些較為突出的特點(diǎn)。其重點(diǎn)的工作方式包括:自動(dòng)查看信息的運(yùn)行,網(wǎng)絡(luò)隔離功能,防止攻擊人士剖析IP地址,利用互聯(lián)網(wǎng)地址進(jìn)行調(diào)整以及網(wǎng)絡(luò)公開IP地址。加強(qiáng)網(wǎng)絡(luò)順利工作的安全裝置力度,支持IP技術(shù)隱蔽,能夠更好的保護(hù)內(nèi)網(wǎng)和外網(wǎng)中獲得的信息,使之不被攻擊。能夠利用大量的隱藏技術(shù),提供值轉(zhuǎn)置功能,來抵制外網(wǎng)攻擊,從而實(shí)現(xiàn)網(wǎng)絡(luò)安全保護(hù)的效果。隨著社會(huì)的發(fā)展和科學(xué)技術(shù)的不斷進(jìn)步,越來越多的單位或行業(yè)開始使用計(jì)算機(jī)網(wǎng)絡(luò)。而大部分人們都是根據(jù)網(wǎng)絡(luò)運(yùn)輸來獲取、傳輸信息,所以網(wǎng)絡(luò)安全在整個(gè)網(wǎng)絡(luò)工作中是至關(guān)重要的。防火墻技術(shù)的研發(fā)能夠很好的維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全。
所以,我們應(yīng)該盡可能的根據(jù)防火墻的長處來處理和防止網(wǎng)絡(luò)中出現(xiàn)的問題,與此同時(shí),還應(yīng)該掌握防火墻的各種保護(hù)功能,從而使自己的網(wǎng)絡(luò)系統(tǒng)更加的安全可靠。
防火墻技術(shù)論文3【摘要】針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行安全維護(hù)過程中,必然要沿用防火墻技術(shù),主要是其能夠針對(duì)計(jì)算機(jī)系統(tǒng)提供較為安全且可靠的運(yùn)行環(huán)境。防火墻具體的工作原理,便是在計(jì)算機(jī)內(nèi)外網(wǎng)銜接渠道之中形成保護(hù)體系,自動(dòng)屏蔽一系列來源不明的網(wǎng)絡(luò)傳輸信息。筆者的任務(wù),便是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全中防火墻技術(shù)的科學(xué)有效性運(yùn)用策略,加以細(xì)致化探討論證,希望能為相關(guān)工作人員貫徹網(wǎng)絡(luò)安全維護(hù)職務(wù),提供較為直觀的指導(dǎo)性依據(jù)。
【關(guān)鍵詞】計(jì)算機(jī);網(wǎng)絡(luò)信息;防火墻;有效應(yīng)用
前言
計(jì)算機(jī)信息技術(shù)如今在我國社會(huì)各類產(chǎn)業(yè)領(lǐng)域之中得到普及沿用,同步狀況下更對(duì)于網(wǎng)絡(luò)安全維護(hù)工作質(zhì)量提出愈加嚴(yán)格的規(guī)范訴求。在此類環(huán)境下,想要充分維持計(jì)算機(jī)網(wǎng)絡(luò)資源的安全價(jià)值,就必須以計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用環(huán)境為基礎(chǔ)性指導(dǎo)媒介,透過多元化開發(fā)途徑將防火墻技術(shù)優(yōu)勢(shì)予以全方位發(fā)揮。須知防火墻更新速率飛快,已然和當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展進(jìn)程維持同步關(guān)系,進(jìn)一步為計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行提供高效的維護(hù)途徑。所以,探索防火墻技術(shù)在如今我國計(jì)算機(jī)網(wǎng)絡(luò)信息傳輸中的合理性應(yīng)用策略,顯得尤為緊迫。
1防火墻技術(shù)的原理和屬性
所謂防火墻技術(shù),實(shí)質(zhì)上就是依照國家、法律等規(guī)范原則,進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部流通的所有信息,進(jìn)行授權(quán)和限制性管理服務(wù)的行為流程,其間會(huì)針對(duì)關(guān)聯(lián)信息加以詳細(xì)化記錄,保證各類信息具體來源得到妥善化校驗(yàn)解析至于,盡快明確網(wǎng)絡(luò)系統(tǒng)內(nèi)一些交互信息的狀況,避免外部攻擊現(xiàn)象的大范圍滋生。至于該類技術(shù)的基礎(chǔ)屬性將依次細(xì)化為:(1)進(jìn)行最有效的安全防護(hù)方案篩選應(yīng)用,保證和防火墻防護(hù)體系運(yùn)行規(guī)范準(zhǔn)則的全面貼合結(jié)果。(2)全方位記錄各類信息活動(dòng)并且精準(zhǔn)化檢驗(yàn)攻擊性行為,在第一時(shí)間內(nèi)提供警示信息和限制性管理服務(wù)。(3)容納全部信息,將計(jì)算機(jī)網(wǎng)絡(luò)整體性能予以有機(jī)維護(hù)。
2計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)經(jīng)常發(fā)生面對(duì)的安全威脅因素
須知計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)深處于信息環(huán)境之中,其間遭受任何形式的網(wǎng)絡(luò)安全攻擊問題,都將被視為防火墻技術(shù)重點(diǎn)加以防護(hù)的內(nèi)容,所以說,筆者經(jīng)過計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全攻擊現(xiàn)象分析過后,整理出以下威脅因素:2.1IP攻擊參與該類網(wǎng)絡(luò)攻擊活動(dòng)的人員會(huì)預(yù)先鎖定要攻擊的目標(biāo)群,同時(shí)設(shè)置對(duì)應(yīng)的IP攻擊路徑。在確保已經(jīng)向目標(biāo)主機(jī)發(fā)送完安全信息過后,獲取主機(jī)的信任并進(jìn)行相關(guān)攻擊對(duì)象鎖定,力求借助信息模式進(jìn)行虛假形式的IP發(fā)送,一旦說IP欺騙計(jì)算機(jī)網(wǎng)絡(luò)安全的防護(hù)舉措之后,虛假形式的IP便會(huì)立即轉(zhuǎn)變成為多樣性的攻擊行為,如進(jìn)行用戶信息全方位搜羅讀取、篡改必要的服務(wù)項(xiàng)目,最終將這類攻擊程序安置在用戶難以及時(shí)發(fā)現(xiàn)的空間之中,為后續(xù)一切非法性攻擊活動(dòng)布置延展,做足充分的過渡準(zhǔn)備工作。2.2拒絕服務(wù)這類攻擊行為主張借助系統(tǒng)存在的漏洞,向計(jì)算機(jī)進(jìn)行各類樣式的攻擊數(shù)據(jù)包發(fā)送,持續(xù)到主機(jī)處于癱瘓狀態(tài)為止,這樣主機(jī)便無法滿足現(xiàn)場(chǎng)操作者一切網(wǎng)絡(luò)化服務(wù)需求。實(shí)際上。該類網(wǎng)絡(luò)攻擊模式具備深刻的毀滅性特征,攻擊主體在進(jìn)行攻擊類數(shù)據(jù)包發(fā)送過程中往往不受時(shí)間和方向等因素約束,透過數(shù)據(jù)包發(fā)送令計(jì)算機(jī)難以承受過高負(fù)荷的數(shù)據(jù)存儲(chǔ),進(jìn)一步陷入停滯或是休眠的狀態(tài)之中,此時(shí)即便是操作主體向系統(tǒng)發(fā)送任何操作請(qǐng)求,計(jì)算機(jī)也將喪失對(duì)應(yīng)的服務(wù)能力,無法盡快接受并處理這方面請(qǐng)求,這便是所謂的計(jì)算機(jī)完全拒絕服務(wù)的現(xiàn)象。2.3端口攻擊計(jì)算機(jī)自身存在多種類型的端口,包括遠(yuǎn)程、協(xié)議、共享等類型,在此基礎(chǔ)上,計(jì)算機(jī)系統(tǒng)才能愈加流暢和高效地運(yùn)行下去。通常狀況之下,操作用戶很難發(fā)覺對(duì)端口遭受的攻擊現(xiàn)象以及對(duì)應(yīng)的影響問題,幾乎都是借助防火墻技術(shù)進(jìn)行常用端口防護(hù)控制,至于其余端口則完全沒有獲得可靠的防護(hù)措施。
3新形勢(shì)下防火墻技術(shù)在我國計(jì)算機(jī)網(wǎng)絡(luò)安全管理中的科學(xué)應(yīng)用措施
防火墻技術(shù)的工作原理,就是針對(duì)計(jì)算機(jī)的內(nèi)外網(wǎng)絡(luò)空間進(jìn)行隔離化處理,從中衍生出極為穩(wěn)定且高效的保護(hù)路徑,旨在將一切外部攻擊行為予以識(shí)別、遏制。至于該類技術(shù)如何妥善化地在計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)工作中改良運(yùn)用,具體細(xì)節(jié)將如下所示:3.1合理推廣沿用高端可靠的代理服務(wù)器代理服務(wù)器,即防火墻技術(shù)的一種,其主張向網(wǎng)絡(luò)系統(tǒng)提供對(duì)應(yīng)的代理服務(wù),完成真實(shí)網(wǎng)絡(luò)的信息交互式工序流程。如計(jì)算機(jī)網(wǎng)絡(luò)信息借助內(nèi)網(wǎng)向外網(wǎng)空間傳輸信息過程中,自身會(huì)攜帶IP信息,如若其間外網(wǎng)攻擊主體發(fā)現(xiàn)并進(jìn)行動(dòng)態(tài)化跟蹤校驗(yàn),導(dǎo)致病毒或者是木馬介入內(nèi)網(wǎng)的幾率便顯得非常之高,之后病毒便會(huì)在內(nèi)網(wǎng)之中泛濫并且竊取銷毀重要數(shù)據(jù);而沿用代理服務(wù)器之后,便會(huì)為交互信息設(shè)計(jì)供應(yīng)虛擬樣式的IP,同步狀況下將真實(shí)IP予以合理化掩藏,外部攻擊者透過跟蹤破解的只能是虛擬化的IP,內(nèi)網(wǎng)真實(shí)性信息至此便會(huì)得到應(yīng)有的保護(hù)條件。3.2科學(xué)融入包過濾技術(shù)要素包過濾技術(shù)的核心特征就是進(jìn)行信息選擇,此類技術(shù)在確保獲取到傳輸信息之后,會(huì)自動(dòng)地聯(lián)合原有的安全注冊(cè)表進(jìn)行綜合化對(duì)比校驗(yàn),認(rèn)證當(dāng)下傳輸信息的安全性。筆者在此主要以網(wǎng)絡(luò)傳輸目的IP為例,針對(duì)該類IP數(shù)據(jù)包進(jìn)行細(xì)致化校驗(yàn)解析發(fā)現(xiàn),當(dāng)中蘊(yùn)藏著必要的源信息,可以被視為標(biāo)志性信息,主要配合包過濾技術(shù)進(jìn)行獲得的數(shù)據(jù)包和用戶安全注冊(cè)表校驗(yàn)對(duì)比,篩選當(dāng)中存在攻擊隱患的數(shù)據(jù)信息,保證系統(tǒng)安全之后持續(xù)執(zhí)行數(shù)據(jù)傳輸任務(wù)。需要加以強(qiáng)調(diào)的是,包過濾技術(shù)應(yīng)用過程中,不單單控制信息內(nèi)外網(wǎng)傳輸過程,同時(shí)會(huì)提供必要的限制性功能,即該類技術(shù)能夠在計(jì)算機(jī)主機(jī)上和路由器上應(yīng)用,因此被細(xì)化出開放和封閉式兩類應(yīng)用模。3.3有機(jī)貫穿復(fù)合類安全防護(hù)技術(shù)該類技術(shù)能夠彰顯出計(jì)算機(jī)網(wǎng)絡(luò)信息的綜合性防護(hù)功能優(yōu)勢(shì),即主張?jiān)诜阑饓?nèi)部融入代理和包過濾兩類技術(shù)要素,綻放出更為穩(wěn)定的防護(hù)體系,將以往防火墻技術(shù)的諸多缺陷予以全面性填充彌補(bǔ)。在代理和包過濾等技術(shù)的綜合作用之下,防火墻技術(shù)開始逐漸地形成系統(tǒng)性的保護(hù)類型,能夠愈加合理地維持防火墻技術(shù)應(yīng)有的靈活性特征。當(dāng)前,防火墻技術(shù)表現(xiàn)出一定程度的混合特性,復(fù)合體現(xiàn)出代理和包過濾的雙向優(yōu)勢(shì)特征,最為重要的是還可同步貫穿多元化安全防護(hù)技術(shù),在爭取考慮到計(jì)算機(jī)網(wǎng)絡(luò)安全的運(yùn)行實(shí)際基礎(chǔ)上,保證防火墻一旦遭受任何形式的網(wǎng)絡(luò)攻擊時(shí),便會(huì)在第一時(shí)間內(nèi)作出防御服務(wù)回應(yīng),彰顯出現(xiàn)代我國計(jì)算機(jī)防火墻技術(shù)應(yīng)用所需的策略性。
4結(jié)語
綜上所述,計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用空間范疇持續(xù)擴(kuò)張,一時(shí)間令計(jì)算機(jī)網(wǎng)絡(luò)在運(yùn)行過程中面臨更為嚴(yán)峻的安全威脅,想要針對(duì)這部分安全隱患加以系統(tǒng)化調(diào)試,第一要?jiǎng)?wù)便是合理改良開發(fā)防火墻技術(shù)。至于防火墻技術(shù)在網(wǎng)絡(luò)安全發(fā)展環(huán)節(jié)中,主要彰顯出變革與更新特性,在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)實(shí)時(shí)性保護(hù)的基礎(chǔ)上,規(guī)避任何形式的計(jì)算機(jī)外網(wǎng)攻擊現(xiàn)象,最終維持內(nèi)網(wǎng)環(huán)境的安全性。具體來講,防火墻技術(shù)在我國當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全管理活動(dòng)中,占據(jù)著十分重要的指導(dǎo)性地位。
參考文獻(xiàn)
[1]苑雪.新形勢(shì)下計(jì)算機(jī)網(wǎng)絡(luò)信息安全存在的威脅及對(duì)策分析[J].科技經(jīng)濟(jì)市場(chǎng),20xx,13(05):134~150.[2]高揚(yáng).計(jì)算機(jī)網(wǎng)絡(luò)信息安全和安全防護(hù)[J].通訊世界,20xx,20(12):78~96.[3]林嵐.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].科技展望,20xx,31(19):108~125.
防火墻技術(shù)論文4摘要:伴隨計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的高速發(fā)展,社會(huì)生活以及生產(chǎn)對(duì)于計(jì)算機(jī)的應(yīng)用和依賴程度不斷提高,網(wǎng)絡(luò)安全問題成為制約計(jì)算機(jī)網(wǎng)絡(luò)計(jì)算健康發(fā)展的關(guān)鍵問題。防火墻是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的基本保證,本文針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)的相關(guān)問題進(jìn)行深入研究,簡要分析計(jì)算機(jī)網(wǎng)絡(luò)安全、防火墻技術(shù),以及防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用,旨在促進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的科學(xué)發(fā)展。
關(guān)鍵詞:計(jì)算機(jī);網(wǎng)絡(luò)安全;防火墻技術(shù)
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用給用戶帶來諸多便利,但是由于網(wǎng)絡(luò)處于開放狀態(tài)中,因而用戶在應(yīng)用網(wǎng)絡(luò)系統(tǒng)的過程中,也會(huì)面臨諸多安全隱患和威脅,用戶自身操作系統(tǒng)的不完善、網(wǎng)絡(luò)協(xié)議存在漏洞、電腦高手的惡意攻擊都會(huì)給成為導(dǎo)致計(jì)算機(jī)網(wǎng)絡(luò)安全問題的主要因素,發(fā)生計(jì)算機(jī)網(wǎng)絡(luò)安全問題可能導(dǎo)致用戶的數(shù)據(jù)信息丟失、系統(tǒng)癱瘓,嚴(yán)重影響計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的正常應(yīng)用。防火墻是計(jì)算機(jī)網(wǎng)絡(luò)安全主動(dòng)防御的有效途徑,探究計(jì)算機(jī)網(wǎng)絡(luò)安全及防火墻技術(shù)的相關(guān)問題進(jìn)行探討,對(duì)于促進(jìn)計(jì)算機(jī)行業(yè)領(lǐng)域的持續(xù)發(fā)展具有現(xiàn)實(shí)意義。
1計(jì)算機(jī)網(wǎng)絡(luò)安全
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用主要以各種程序信息為平臺(tái)和載體,而在程序和系統(tǒng)運(yùn)行的過程中也會(huì)衍生諸多數(shù)據(jù)信息,從某種層面而言計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用便是數(shù)據(jù)信息的應(yīng)用,網(wǎng)絡(luò)數(shù)據(jù)安全也成為保障計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用價(jià)值的關(guān)鍵,保證計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的應(yīng)用安全便需要保證網(wǎng)絡(luò)數(shù)據(jù)信息的安全。用戶在應(yīng)用計(jì)算機(jī)的過程中會(huì)從不同途徑遭受數(shù)據(jù)丟失、泄露或者破壞等風(fēng)險(xiǎn),造成網(wǎng)絡(luò)數(shù)據(jù)安全威脅的節(jié)點(diǎn)較多,病毒以及電腦高手攻擊多以節(jié)點(diǎn)攻擊為主要方式造成計(jì)算機(jī)操作系統(tǒng)的損壞,用戶不良的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用習(xí)慣,可能是造成病毒植入或者感染的重要原因。由于當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域應(yīng)用范圍的不斷拓展,計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用行為所產(chǎn)生的網(wǎng)絡(luò)信息也體現(xiàn)更高價(jià)值,不法分子對(duì)于網(wǎng)絡(luò)數(shù)據(jù)信息的惡意侵犯行為也愈發(fā)頻繁,用戶需要實(shí)現(xiàn)常態(tài)化的網(wǎng)絡(luò)安全防護(hù),才能夠保證自身應(yīng)用網(wǎng)絡(luò)系統(tǒng)的安全。
2防火墻技術(shù)
用戶進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用,對(duì)于防火墻技術(shù)的應(yīng)用程度也相對(duì)較高,防火墻是計(jì)算機(jī)系統(tǒng)安全保護(hù)的有效屏障,通過其技術(shù)形式進(jìn)行劃分可以分為軟件型、硬件型和嵌入型三種類型,從其技術(shù)層面進(jìn)行劃分也可以分為狀態(tài)檢測(cè)型、包過濾型以及應(yīng)用型等三種類型,不同類型的防火墻都有自身特點(diǎn)以及應(yīng)用利弊,用戶可以根據(jù)自身的應(yīng)用需求以及網(wǎng)絡(luò)系統(tǒng)配置進(jìn)行合理的防火墻選擇。
2.1狀態(tài)檢測(cè)型防火墻
狀態(tài)監(jiān)測(cè)性防火墻主要是對(duì)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行數(shù)據(jù)進(jìn)行檢測(cè)和分析,通過自身的數(shù)據(jù)檢測(cè)功能對(duì)網(wǎng)絡(luò)運(yùn)行狀態(tài)中存在的不安全因素進(jìn)行辨別,進(jìn)而為保證系統(tǒng)的運(yùn)行安全,對(duì)不安全狀態(tài)進(jìn)行必要處理,應(yīng)用防火墻實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)作用。相較于其他類型的防火墻而言,狀態(tài)監(jiān)測(cè)型防火墻的安全防護(hù)系數(shù)相對(duì)較高,能夠根據(jù)應(yīng)用需求進(jìn)行拓展和伸縮,值得注意的是,進(jìn)行拓展和伸縮需要一定的應(yīng)急反應(yīng)和處理時(shí)間,因而會(huì)出現(xiàn)防護(hù)保護(hù)延遲的情況發(fā)生,網(wǎng)絡(luò)連接狀態(tài)也會(huì)出現(xiàn)延緩或者滯留的情況。
2.2包過濾型防火墻
包過濾型防火墻的重點(diǎn)在于包過濾技術(shù)的應(yīng)用,包過濾技術(shù)對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議具有嚴(yán)格要求,系統(tǒng)運(yùn)行的各項(xiàng)操作都需要在保障協(xié)議安全的基礎(chǔ)和范疇內(nèi)進(jìn)行。防火墻的工作機(jī)制相對(duì)透明,用戶進(jìn)行網(wǎng)絡(luò)系統(tǒng)的應(yīng)用過程中,防火墻會(huì)對(duì)存在安全威脅的網(wǎng)站訪問行為和被訪問行為進(jìn)行過濾,運(yùn)行和防護(hù)工作效率相對(duì)較快,但是對(duì)于攜帶新型病毒的惡意訪問或者電腦高手攻擊不具有防護(hù)功能,對(duì)于原有的數(shù)據(jù)信息具有較強(qiáng)的依賴性,不能夠進(jìn)行自動(dòng)更新以及程序包的升級(jí)。
2.3應(yīng)用型防火墻
應(yīng)用型防火墻主要通過IP轉(zhuǎn)換的方式,對(duì)網(wǎng)絡(luò)系統(tǒng)的入侵者進(jìn)行防護(hù),應(yīng)用偽裝新IP或者端口作為誘導(dǎo),達(dá)到對(duì)真正網(wǎng)絡(luò)系統(tǒng)的防護(hù)作用,以偽裝方式迷惑不法入侵行為,實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)通訊流的阻隔作用,同時(shí)也能夠?qū)W(wǎng)絡(luò)運(yùn)行狀況進(jìn)行實(shí)時(shí)監(jiān)控,體現(xiàn)較高的安全性能。此種防火墻技術(shù)的應(yīng)用會(huì)使網(wǎng)絡(luò)系統(tǒng)的運(yùn)行環(huán)境更加復(fù)雜,同時(shí)對(duì)于網(wǎng)絡(luò)信息安全管理也提出更高要求。
3防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用
3.1身份驗(yàn)證
身份驗(yàn)證是防火墻技術(shù)的主要應(yīng)用方式,通過用戶的身份驗(yàn)證授權(quán)其各應(yīng)用平臺(tái)和系統(tǒng)的使用行為,保證其計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)操作的合法性。防火墻能夠在信息的發(fā)送和接收環(huán)節(jié)中都能夠發(fā)揮身份驗(yàn)證作用,在數(shù)據(jù)傳輸?shù)倪^程中形成天然屏障,形成對(duì)于不法訪問和傳輸行為的阻礙作用,保證信息的傳輸安全。
3.2防病毒技術(shù)
防病毒是防火墻的主要功能,同時(shí)也是其技術(shù)應(yīng)用的主要方式,防病毒的功能體現(xiàn)也是用戶進(jìn)行防火墻技術(shù)應(yīng)用的主要目的。防火墻在網(wǎng)絡(luò)系統(tǒng)中對(duì)外界第三方訪問的數(shù)據(jù)信息進(jìn)行檢查,非法路徑訪問行為會(huì)被制止,防病毒技術(shù)的應(yīng)用效果比身份驗(yàn)證更為明顯,對(duì)于處理技術(shù)的應(yīng)用要求也相對(duì)較高。
3.3日志監(jiān)控
防火墻在對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行應(yīng)用的過程中會(huì)自動(dòng)生成日志,對(duì)各類訪問信息進(jìn)行記載,便于在日后的應(yīng)用過程中對(duì)數(shù)據(jù)信息進(jìn)行分析和防護(hù),日志監(jiān)控在防火墻的應(yīng)用中發(fā)揮至關(guān)重要的影響作用,用戶在進(jìn)行程序應(yīng)用的過程中,不需要進(jìn)行全面操控,僅需要針對(duì)關(guān)鍵信息進(jìn)行操作。由于用戶應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)會(huì)產(chǎn)生大量的數(shù)據(jù)信息,因而日志信息的生成量也非常大,如果用戶進(jìn)行全面操作需要耗費(fèi)大量的時(shí)間和精力,對(duì)網(wǎng)絡(luò)防護(hù)的即時(shí)性產(chǎn)生影響,用戶可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)信息進(jìn)行分類,并針對(duì)不同類型進(jìn)行重點(diǎn)操作,有助于系統(tǒng)防護(hù)工作效率的提高。
4結(jié)束語
計(jì)算機(jī)網(wǎng)絡(luò)安全是用戶進(jìn)行計(jì)算機(jī)程序和系統(tǒng)應(yīng)用關(guān)注的重點(diǎn)問題,防火墻技術(shù)的應(yīng)用有助于實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)系統(tǒng)的安全防護(hù),身份驗(yàn)證、防病毒技術(shù)、日志監(jiān)控是防火墻技術(shù)應(yīng)用的主要方式。用戶進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用,需要養(yǎng)成良好的網(wǎng)絡(luò)訪問習(xí)慣,積極應(yīng)用防火墻技術(shù)保護(hù)系統(tǒng)的有序運(yùn)行,以促進(jìn)計(jì)算機(jī)技術(shù)應(yīng)用價(jià)值的提升。
參考文獻(xiàn)
[1]趙建青.淺議計(jì)算機(jī)網(wǎng)絡(luò)的安全問題與防范研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,20xx(02):3,26.[2]劉意先,慕德俊.基于CIA屬性的網(wǎng)絡(luò)安全評(píng)估方法研究[J].計(jì)算機(jī)技術(shù)與發(fā)展,20xx(04):141-143,147.[3]譚玉波,趙孟,鄧淼磊.網(wǎng)絡(luò)安全態(tài)勢(shì)優(yōu)化評(píng)估研究與仿真[J].計(jì)算機(jī)仿真,20xx(03):210-215.
防火墻技術(shù)論文51、影響網(wǎng)絡(luò)安全的因素
1.1 數(shù)據(jù)威脅
數(shù)據(jù)是構(gòu)成網(wǎng)絡(luò)信息的主體也是網(wǎng)絡(luò)安全需要保護(hù)的對(duì)象, 數(shù)據(jù)運(yùn)行中存在的漏洞被發(fā)現(xiàn)并研究, 開發(fā)利用漏洞進(jìn)行針對(duì)性破壞的漏洞, 以植入木馬、病毒、腳本的形式對(duì)計(jì)算機(jī)數(shù)據(jù)進(jìn)行竊取、破壞、修改, 嚴(yán)重的可造成計(jì)算機(jī)系統(tǒng)癱瘓, 影響政府和企業(yè)服務(wù)器正常運(yùn)行或泄露個(gè)人電腦用戶隱私和造成財(cái)產(chǎn)損失。
1.2 外力破壞
外力破壞主要以刻意利用木馬、病毒攻擊計(jì)算機(jī), 其次以利用網(wǎng)站病毒、郵件病毒的方式。由于用戶不正確的電腦使用習(xí)慣, 如長期使用電腦卻不定期殺毒給病毒以可乘之機(jī), 或攻擊者摸清網(wǎng)民的上網(wǎng)習(xí)慣和偏好的網(wǎng)站后對(duì)網(wǎng)民經(jīng)常訪問網(wǎng)站植入攻擊鏈接, 引發(fā)網(wǎng)民計(jì)算機(jī)下載并運(yùn)行病毒或木馬, 直接對(duì)網(wǎng)民計(jì)算機(jī)進(jìn)行攻擊。
1.3 環(huán)境威脅
互聯(lián)網(wǎng)中計(jì)算機(jī)都與服務(wù)器連接, 所有計(jì)算機(jī)處于信息共享環(huán)境中, 而用戶訪問互聯(lián)網(wǎng)必須經(jīng)由互聯(lián)網(wǎng)環(huán)境, 故環(huán)境威脅不可避免。而因互聯(lián)網(wǎng)共享環(huán)境中客戶端數(shù)量較多, 網(wǎng)絡(luò)環(huán)境內(nèi)的攻擊頻繁且強(qiáng)烈。網(wǎng)絡(luò)環(huán)境的攻擊主要以互聯(lián)網(wǎng)環(huán)境內(nèi)計(jì)算機(jī)之間數(shù)據(jù)包傳輸?shù)男问? 與木馬病毒破壞計(jì)算機(jī)軟件不同的是, 數(shù)據(jù)包中帶入的網(wǎng)絡(luò)攻擊主要攻擊內(nèi)網(wǎng)的防護(hù)結(jié)構(gòu), 為“數(shù)據(jù)威脅”和“外力破壞”兩種方式提高成功率和加大破壞力。
2、防火墻的類型及特點(diǎn)
2.1 防火墻的分類及其原理
1.數(shù)據(jù)包過濾型
數(shù)據(jù)包過濾型防火墻主要通過查看流經(jīng)數(shù)據(jù)的包頭, 再?zèng)Q定不同數(shù)據(jù)包的去向。此種防火墻對(duì)數(shù)據(jù)包常見操作有丟棄(DROP)和接受(ACCEPT)兩種, 也可執(zhí)行其他操作。只有滿足過濾條件的數(shù)據(jù)包才被防火墻轉(zhuǎn)發(fā)到相應(yīng)目的地, 其余數(shù)據(jù)包被阻擋或丟棄。數(shù)據(jù)包過濾的特點(diǎn)有對(duì)用戶透明;過濾速度快、效率高。缺點(diǎn)是只能根據(jù)數(shù)據(jù)包的來源、目的地、端口等網(wǎng)絡(luò)信息進(jìn)行判斷, 不能完全杜絕地址欺騙。數(shù)據(jù)包過濾與一些應(yīng)用協(xié)議不兼容, 不能防范不斷更新的攻擊, 不能處理新的安全威脅。
2.網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)
網(wǎng)絡(luò)地址轉(zhuǎn)換是將IP地址臨時(shí)轉(zhuǎn)換成外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。在內(nèi)部網(wǎng)絡(luò)需要訪問外部網(wǎng)絡(luò)時(shí), NAT系統(tǒng)將用于對(duì)外訪問的源地址和源端口映射為一個(gè)偽裝的地址和端口與外網(wǎng)連接, 以達(dá)到隱藏計(jì)算機(jī)真實(shí)內(nèi)部地址的目的, 外部計(jì)算機(jī)安全網(wǎng)卡訪問本地用戶計(jì)算機(jī)內(nèi)網(wǎng)時(shí), 并不知道內(nèi)網(wǎng)的網(wǎng)絡(luò)情況, 只能與在互聯(lián)網(wǎng)中的這一IP地址和端口進(jìn)行訪問, 防火墻只需根據(jù)網(wǎng)絡(luò)安全管理員編寫好的映射規(guī)則來判斷這個(gè)訪問的安全性再進(jìn)行安全操作。NAT過程對(duì)于用戶來說可視化的程度高, 由于NAT能根據(jù)預(yù)定規(guī)則運(yùn)行, 所以不需用戶進(jìn)行繁雜的設(shè)置, 只需簡單操作, 有操作門檻低, 易于上手等優(yōu)點(diǎn)。
3、防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用
3.1 訪問策略中的應(yīng)用
防火墻技術(shù)判斷有害數(shù)據(jù)的核心依據(jù)是訪問策略, 訪問策略在計(jì)算機(jī)網(wǎng)絡(luò)安全中占據(jù)主體地位。訪問策略的實(shí)施主要以網(wǎng)絡(luò)技術(shù)管理員預(yù)先配置的形式為主, 經(jīng)過周全的設(shè)計(jì)布置, 依據(jù)深入統(tǒng)計(jì)的網(wǎng)絡(luò)信息交換傳遞特點(diǎn), 構(gòu)建科學(xué)、完善的網(wǎng)絡(luò)防護(hù)系統(tǒng)。
防火墻在訪問策略中經(jīng)過以下幾個(gè)保護(hù)流程:
(1)防火墻將運(yùn)行中的信息劃分為不同的單位, 針對(duì)每個(gè)單位布置內(nèi)、外兩方面的訪問保護(hù);
(2)防火墻通過既有的訪問策略對(duì)計(jì)算機(jī)運(yùn)行的目的地址、端口地址等參數(shù)進(jìn)行學(xué)習(xí), 以適應(yīng)計(jì)算機(jī)信息傳遞的特點(diǎn);
3.2 日志監(jiān)控中的應(yīng)用
計(jì)算機(jī)防火墻生成的日志文件可用來高級(jí)計(jì)算機(jī)用戶或發(fā)燒友對(duì)其進(jìn)行分析, 以獲取計(jì)算機(jī)運(yùn)行中的后臺(tái)行為信息。日志監(jiān)控和分析在網(wǎng)絡(luò)安全保護(hù)中很重要, 用戶分析防火墻日志時(shí), 只關(guān)注重要信息即可。具體操作方法是對(duì)網(wǎng)絡(luò)防火墻生成的日志文件信息進(jìn)行分類, 以降低日志有用信息采集的難度。計(jì)算機(jī)用戶或管理員對(duì)日志監(jiān)控的靈活運(yùn)用, 使人工智能與防火墻安全技術(shù)相結(jié)合, 提升網(wǎng)絡(luò)安全防護(hù)能力和網(wǎng)絡(luò)優(yōu)化效果。
結(jié)語:作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)公共網(wǎng)絡(luò)之間的第一道屏障, 防火墻是最容易被計(jì)算機(jī)使用者和單位接受的網(wǎng)絡(luò)安全產(chǎn)品之一。防火墻處于網(wǎng)絡(luò)安全的最底層, 負(fù)責(zé)網(wǎng)絡(luò)安全認(rèn)證和傳輸工作, 不僅保證起到識(shí)別和過濾的作用, 同時(shí)還能為各種聯(lián)網(wǎng)應(yīng)用提供網(wǎng)絡(luò)安全服務(wù)。隨著信息技術(shù)和互聯(lián)網(wǎng)在日常生活中被廣泛普及和應(yīng)用, 人們對(duì)計(jì)算機(jī)信息安全等級(jí)要求愈來愈高, 對(duì)網(wǎng)絡(luò)信息安全管家防火墻的技術(shù)更新升級(jí)速度也提出了挑戰(zhàn)。
參考文獻(xiàn)
[1]于志剛.網(wǎng)絡(luò)思維的演變與網(wǎng)絡(luò)犯罪的制裁思路[J].中外法學(xué), 20xx, 26(04):1045-1058.[2]馬利, 梁紅杰.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)應(yīng)用研究[J].電腦知識(shí)與技術(shù), 20xx, 10(16):3743-3745.[3]趙文勝.論信息安全的刑法保障[D].武漢大學(xué), 20xx.[4]隋曉冰.網(wǎng)絡(luò)環(huán)境下大學(xué)英語課堂教學(xué)優(yōu)化研究[D].上海外國語大學(xué), 20xx.[5]雷瑞林.計(jì)算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)研究[J].福建電腦, 20xx(05):43+54.
防火墻技術(shù)論文6摘要:隨著經(jīng)濟(jì)的發(fā)展,互聯(lián)網(wǎng)技術(shù)越來越發(fā)達(dá)。網(wǎng)絡(luò)已經(jīng)成為人們生活中必不可少的部分。當(dāng)然,網(wǎng)絡(luò)的迅速發(fā)展也是具有兩面性的,它就是一把雙刃劍,一方面它給人們的生活帶來了便利,讓我們的生活方式更加快捷。另一方面,計(jì)算機(jī)也存在一些安全問題。例如,互聯(lián)網(wǎng)會(huì)出現(xiàn)一些信息泄露、支付安全等問題。所以,維護(hù)和建立一個(gè)健康的網(wǎng)絡(luò)環(huán)境尤為重要。文章研究了防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用。
關(guān)鍵詞:網(wǎng)絡(luò);防火墻;信息;技術(shù)
社會(huì)的高速發(fā)展下,人們對(duì)網(wǎng)絡(luò)的依賴性越來越強(qiáng)。包括日常生活中的網(wǎng)上購物,大到上萬小到幾塊的支付。再到網(wǎng)上搜索一些信息,基本上生活離不開網(wǎng)絡(luò)。但是網(wǎng)絡(luò)也是一把雙刃劍,在這些交易的過程中,會(huì)需要我們注冊(cè)各種信息,包括身份信息、銀行卡信息。這些信息放在網(wǎng)上,總會(huì)有一些不法分子和程序偷取信息。那么,網(wǎng)絡(luò)的安全性必須引起我們的重視。目前,防火墻技術(shù)就是解決網(wǎng)絡(luò)安全問題的重要手段之一。
1防火墻技術(shù)存在的問題
1.1第一代防火墻技術(shù)
以往的第一代防火墻技術(shù)是通過對(duì)每個(gè)數(shù)據(jù)包檢查流經(jīng)網(wǎng)絡(luò)的簡單包過濾技術(shù),按照一定的安全要求來斷定能否符合既定要求。要具有良好的理解能力,只是單單了解數(shù)據(jù)處理的更高協(xié)議是行不通的。1985年,Cisc的IOS技術(shù)產(chǎn)生并處理分析出了第一代防火墻技術(shù)。經(jīng)過多年的不斷研究和改善。在各個(gè)方面都有了很大的提高和完善。它的運(yùn)行速度和安全檢測(cè)能力也有了巨大的提升。這項(xiàng)技術(shù)基于數(shù)據(jù)包中目的地址內(nèi)容經(jīng)過判斷對(duì)數(shù)據(jù)包的全部內(nèi)容進(jìn)行分析,促使一些不良的數(shù)據(jù)包不會(huì)對(duì)計(jì)算機(jī)本身產(chǎn)生安全隱患。這項(xiàng)技術(shù)會(huì)先對(duì)數(shù)據(jù)源頭進(jìn)行檢測(cè),并由此完成一步一步向下傳遞的任務(wù)。這項(xiàng)技術(shù)的優(yōu)點(diǎn)是速度快且費(fèi)用較低。但就目前而言,它還不能對(duì)計(jì)算機(jī)進(jìn)行深層次的檢測(cè),所以還不夠完善。目前的網(wǎng)絡(luò)發(fā)展存在一定的漏洞[1]。
1.2第三代防火墻
應(yīng)用層網(wǎng)關(guān)(ApplicationLayerGateway,ALG)也叫應(yīng)用層防火墻或應(yīng)用層代理防火墻,其進(jìn)程名是alg.exe,應(yīng)用層網(wǎng)關(guān)通常被描述為第三代防火墻。它是由美國電報(bào)公司實(shí)驗(yàn)室發(fā)現(xiàn)的。當(dāng)網(wǎng)絡(luò)上受信任的用戶連接到不安全網(wǎng)絡(luò)(如Internet)上的服務(wù)時(shí),這項(xiàng)技術(shù)就會(huì)指引至防火墻中的代理服務(wù)器。代理服務(wù)器可以偽裝成Internet上的真實(shí)服務(wù)器。它可以對(duì)我們發(fā)出的請(qǐng)求進(jìn)行評(píng)估,并根據(jù)一套單個(gè)網(wǎng)絡(luò)服務(wù)的規(guī)則決定允許或拒絕該請(qǐng)求,來有效地解決計(jì)算機(jī)與計(jì)算機(jī)之間存在的一些不信任問題。
1.3電路層網(wǎng)關(guān)代理技術(shù)
20世紀(jì)80年代電路網(wǎng)關(guān)代理技術(shù)產(chǎn)生。這項(xiàng)技術(shù)設(shè)立了內(nèi)端口和外端點(diǎn)的連接。達(dá)成了數(shù)據(jù)層的.傳輸。這就實(shí)現(xiàn)了防火墻與主機(jī),主機(jī)和防火墻的建立。也就把數(shù)據(jù)包檢測(cè)內(nèi)容分成了傳輸控制協(xié)議(TransmissionControlProtocol,TCP)的兩個(gè)部分。TCP在中轉(zhuǎn)時(shí),會(huì)連接外界和網(wǎng)關(guān)的母的地址。過程中分析和處理傳輸層的非交互數(shù)據(jù),能夠讓用戶通過檢驗(yàn)網(wǎng)關(guān)技術(shù),就能穿越網(wǎng)關(guān)訪問系統(tǒng)和服務(wù)。這一技術(shù)也存在一些問題。它無法對(duì)數(shù)據(jù)包進(jìn)行更深層的訪問和認(rèn)證。它只是用于服務(wù)器和用戶間的聯(lián)系[2]。
2目前計(jì)算機(jī)運(yùn)用的防火墻技術(shù)
2.1多級(jí)過濾技術(shù)
隨著經(jīng)濟(jì)的不斷發(fā)展,網(wǎng)絡(luò)技術(shù)研究也受到更深入的研究。傳統(tǒng)的防火墻技術(shù)都存在一個(gè)共同特點(diǎn),都采用逐一匹配的方法,這樣的話計(jì)算量會(huì)很大。怎樣才能提升計(jì)算機(jī)的安全性,成為我們研究的重點(diǎn)。隨著不斷的深入研究,多級(jí)過濾技術(shù)產(chǎn)生。它是由分組過濾、應(yīng)用網(wǎng)關(guān)過濾、電路網(wǎng)關(guān)3個(gè)部分組成。第一部分分組過濾能先過濾掉一些虛假的IP地址,第二級(jí)別對(duì)服務(wù)器系統(tǒng)進(jìn)行安全檢測(cè)和防護(hù)。最后一階段電路網(wǎng)關(guān)是最終的守護(hù)者,建立起主機(jī)和外部站點(diǎn)的聯(lián)系,實(shí)現(xiàn)服務(wù)和運(yùn)用的安全管理。
2.2計(jì)算機(jī)內(nèi)部的轉(zhuǎn)換
計(jì)算機(jī)技術(shù)的不斷進(jìn)步和發(fā)展,使得計(jì)算機(jī)網(wǎng)絡(luò)之間的轉(zhuǎn)化變得更加透明和安全。計(jì)算機(jī)之間處理的直接化使得我們的網(wǎng)絡(luò)運(yùn)用更加安全化。一些入侵程序再也無法深入竊取我們的信息和隱私。不僅這樣,計(jì)算機(jī)內(nèi)部的轉(zhuǎn)化透明化還會(huì)提高我們主機(jī)地址的準(zhǔn)確性。也為我們一些公司企業(yè)的內(nèi)部專用網(wǎng)絡(luò)提供了便捷的訪問權(quán)限。所以,防火墻的技術(shù)在計(jì)算機(jī)安全方面起著重要作用。
2.3深化計(jì)算機(jī)系統(tǒng)的處理層
之前的防火墻在運(yùn)用中要進(jìn)行登錄或者通過對(duì)路徑的修改來達(dá)成電腦安全的防護(hù)。但這些只是對(duì)一些表層問題有所修護(hù)。而深化透明我們的訪問方式可以對(duì)IP地址進(jìn)行判斷和能力進(jìn)行轉(zhuǎn)化。更加透明的轉(zhuǎn)換方式可以對(duì)我們電腦處理層進(jìn)行深化,對(duì)用戶信息進(jìn)行加密,減少系統(tǒng)和深層數(shù)據(jù)庫存在的一些風(fēng)險(xiǎn)。
2.4口字令技術(shù)的運(yùn)用
互聯(lián)網(wǎng)的發(fā)展隨之會(huì)帶來許多安全隱患,我們?cè)诜阑歼^程中也會(huì)遇到一些解決不了的問題。新型的防火墻技術(shù)運(yùn)用于計(jì)算機(jī)時(shí),針對(duì)數(shù)據(jù)遠(yuǎn)程傳輸中存在的問題,我們也研究出了一些解決方法。新型的防火墻技術(shù)在計(jì)算機(jī)運(yùn)用過程中,采用了加密技術(shù)和鑒別技術(shù)。在防火墻自身系統(tǒng)通過口令技術(shù)自帶防護(hù)技術(shù)。提升了計(jì)算機(jī)的安全性。工作和使用效率也得到了大大提高。
2.5告警功能和審計(jì)功能
防火墻的技術(shù)日益完善,為減少一些數(shù)據(jù)包中存在的安全問題對(duì)計(jì)算機(jī)的影響。告警功能和審計(jì)功能出現(xiàn)在新型防火技術(shù)中,而且成為重要的維護(hù)安全的產(chǎn)品。對(duì)通過不同計(jì)算機(jī)的地址的內(nèi)容進(jìn)行審計(jì)和認(rèn)證,減少了服務(wù)器與服務(wù)器之間的安全隱患。提高了計(jì)算機(jī)數(shù)據(jù)和系統(tǒng)之間的安全性。審計(jì)功能的出現(xiàn)就像我們多了一位安全檢測(cè)員,在運(yùn)用中,有這樣的一個(gè)功能讓信息更加安全。而在使用過程中,告警功能會(huì)在出現(xiàn)異常、漏洞、危險(xiǎn)程序時(shí)進(jìn)行及時(shí)的警報(bào)。對(duì)計(jì)算機(jī)系統(tǒng)和信息進(jìn)行了及時(shí)防護(hù),避免出現(xiàn)信息泄露、程序異常等諸多問題[3]。
3如何運(yùn)用防火墻技術(shù)
3.1訪問策略的重要性
在日常生活中,如何更好地讓我們的防火墻技術(shù)運(yùn)用在生活工作中,主要還是在訪問策略的制訂上。我們?cè)谥朴啿呗詴r(shí),做好和認(rèn)清什么可以訪問,什么不可以訪問。計(jì)算機(jī)在實(shí)際操作和運(yùn)用中,對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行合理的分配,可以在運(yùn)用計(jì)算機(jī)時(shí)根據(jù)系統(tǒng)提示,安裝一些科學(xué)的、安全的軟件,對(duì)電腦的軟件和一些病毒信息泄露進(jìn)行深層保護(hù)和防護(hù),為我們的互聯(lián)網(wǎng)打造一個(gè)干凈、無污染的網(wǎng)絡(luò)環(huán)境。
3.2日志監(jiān)控的重要性
防火墻技術(shù)的使用越來越廣泛。除了在源頭建立訪問策略,日志監(jiān)控也是重要的手段之一。我們的防火墻技術(shù)會(huì)在電腦出現(xiàn)異常時(shí)出現(xiàn)告警狀態(tài)。隨之也會(huì)產(chǎn)生日志監(jiān)控,這個(gè)日志的存在也是十分重要的。當(dāng)電腦出現(xiàn)問題時(shí),可以通過這項(xiàng)功能研究分析出一些存在的問題和潛在風(fēng)險(xiǎn),隨之建立一些保護(hù)措施,確保電腦的安全使用。當(dāng)出現(xiàn)問題時(shí),日志可以最直接地反映出,可以幫助我們最快速度找出問題,解決問題,重新建立防火墻,攔截一些危險(xiǎn)的程序和病毒,從而提高防火墻的使用率。
3.3合理的建立安全配置
防火墻的重點(diǎn)內(nèi)容就在于如何做好安全配置。如何對(duì)安全網(wǎng)絡(luò)進(jìn)行模塊化管理十分重要。把網(wǎng)絡(luò)劃分成不同的版塊。區(qū)分出不同模塊所受保護(hù)的程度。相似的模塊劃分成一個(gè)區(qū)域。我們可以根據(jù)自身得需要進(jìn)行“區(qū)別”的對(duì)待。比如,工作中相關(guān)的文件和內(nèi)容可以進(jìn)行加密或重點(diǎn)保護(hù),一些娛樂版塊可以放在不太重要的區(qū)域。這樣的優(yōu)化資源配置才會(huì)把防火墻技術(shù)最大程度的運(yùn)用。“區(qū)別”對(duì)待不是直接分離,它還是會(huì)在同一個(gè)區(qū)域網(wǎng)內(nèi),所有的版塊組合在一起,還是一個(gè)計(jì)算機(jī)的內(nèi)部網(wǎng)絡(luò)。這一技術(shù)的建立可以讓電腦更加優(yōu)化,讓信息更加安全,防火墻技術(shù)才能真正地運(yùn)用于生活。
3.4保護(hù)數(shù)據(jù)安全的重要性
經(jīng)濟(jì)的發(fā)展,互聯(lián)網(wǎng)的進(jìn)步,防火墻技術(shù)的完善更加凸顯出數(shù)據(jù)的重要性。網(wǎng)絡(luò)時(shí)代,數(shù)據(jù)是最重要的資源。如何才能把這一資源優(yōu)化利用尤為重要。我們可以發(fā)現(xiàn),現(xiàn)在的網(wǎng)絡(luò)環(huán)境十分自由。許多信息出現(xiàn)在網(wǎng)絡(luò)上。當(dāng)然有很多信息可以在網(wǎng)上免費(fèi)查找運(yùn)用,但也有許多信息也是具有一定保密性的,不是對(duì)外公開的。比如,我們登記在網(wǎng)上的一些銀行信息、財(cái)務(wù)關(guān)系,還有一些研究成果和資料都是一些不可竊取的秘密。一直以來,很多私人的信息會(huì)出現(xiàn)在網(wǎng)上,比如電話號(hào)碼、身份信息、家庭住址等。這樣的做法極其需要我們的防火墻技術(shù)來減少這種行為的發(fā)生。所以,防火墻技術(shù)在網(wǎng)絡(luò)數(shù)據(jù)運(yùn)用中要尤為重視。通過初始的一些措施,及時(shí)阻止一些安全隱患的發(fā)生,提高我們互聯(lián)網(wǎng)環(huán)境的質(zhì)量[4]。
4結(jié)語
總而言之,隨著社會(huì)的日益發(fā)展,互聯(lián)網(wǎng)技術(shù)越來越發(fā)達(dá)。為減少出現(xiàn)個(gè)人信息、密碼、身份等數(shù)據(jù)泄露,建立一個(gè)干凈的網(wǎng)絡(luò)環(huán)境我們應(yīng)該運(yùn)用新型的防火墻技術(shù),重視訪問策略在防火墻技術(shù)中的重要作用,結(jié)合日志監(jiān)控功能,優(yōu)化安全配置資源,注重?cái)?shù)據(jù)安全的應(yīng)用,不斷更新和注重防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的運(yùn)用。
[參考文獻(xiàn)]
[1]王海榮.防火墻技術(shù)入侵檢測(cè)系統(tǒng)在高校校園網(wǎng)運(yùn)用分析[J].電子技術(shù)與軟件工程,20xx(10):194-195.[2]馮旗.淺述計(jì)算機(jī)防火墻技術(shù)[J].電子測(cè)試,20xx(9):65-67.[3]肖繼海.防火墻技術(shù)發(fā)展趨勢(shì)探析[J].信息安全與技術(shù),20xx(8):12-13.[4]陳健.計(jì)算機(jī)網(wǎng)絡(luò)安全常見問題與對(duì)策[J].信息系統(tǒng)工程,20xx(3):44-45.
防火墻技術(shù)論文7摘要:隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展,一些問題也接踵而來,最主要的就是網(wǎng)絡(luò)安全問題。現(xiàn)代一些不法分子利用網(wǎng)絡(luò)漏洞,進(jìn)行違法行動(dòng),防火墻由此而生。防火墻的主要作用就是保護(hù)計(jì)算機(jī)不受網(wǎng)絡(luò)病毒和外界入侵的干擾,是計(jì)算機(jī)一種基礎(chǔ)、有效防護(hù)措施。
關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò)安全;防火墻;計(jì)算機(jī)自我防御
0引言
計(jì)算機(jī)網(wǎng)絡(luò)安全主要指的是網(wǎng)絡(luò)信息傳輸?shù)陌踩院捅C苄裕乐瓜到y(tǒng)安裝的病毒軟件或者外界強(qiáng)制攻擊造成的個(gè)人信息泄密。開啟防火墻的計(jì)算機(jī)不管是系統(tǒng)數(shù)據(jù)的安全還是日常運(yùn)行,都會(huì)有一定的保障,現(xiàn)代我國的計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)技術(shù)有很多,本文主要講解的方向就是防火墻,分析防火墻在計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)的作用和所處的位置,直觀的理解防火墻--在計(jì)算機(jī)在進(jìn)行網(wǎng)絡(luò)互動(dòng)的時(shí)候?qū)嵤┬畔⒈Wo(hù),先排除一些自彈危險(xiǎn)窗口和自動(dòng)下載病毒,再而保護(hù)整個(gè)計(jì)算機(jī)的操作系統(tǒng),設(shè)置監(jiān)管節(jié)點(diǎn)。防火墻在計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)中有著至關(guān)重要的作用。
1計(jì)算機(jī)網(wǎng)絡(luò)存在的安全問題
1.1概述
我國現(xiàn)在的計(jì)算機(jī)都或多或少都存在一些安全問題,如訪問系統(tǒng)的監(jiān)管能力不強(qiáng),沒有一套針對(duì)性的措施來避免計(jì)算機(jī)網(wǎng)絡(luò)安全上造成的損失。現(xiàn)代的一些入門防護(hù)措施只能對(duì)一些舊型的入侵進(jìn)行簡單防護(hù),一旦出現(xiàn)稍微復(fù)雜的系統(tǒng),就極可能被入侵,從而造成計(jì)算機(jī)系統(tǒng)的損壞和個(gè)人信息的泄露。現(xiàn)在很多從事秘密工作的人員對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全沒有一個(gè)較為完善的概念,沒有對(duì)計(jì)算機(jī)進(jìn)行有效的網(wǎng)絡(luò)安全防護(hù),就很容易出問題,而等到發(fā)現(xiàn)問題以后再想辦法為時(shí)已晚,無法補(bǔ)救,這樣的情況造成的損失通常都是很嚴(yán)重的[1]。
1.2對(duì)于計(jì)算機(jī)安全系統(tǒng)防御力不高方面
首先,對(duì)于我國的計(jì)算機(jī)系統(tǒng)來說,其對(duì)網(wǎng)絡(luò)攻擊的防御效果不佳,安全防范體系并不完善,防御系統(tǒng)升級(jí)調(diào)整不及時(shí),由此導(dǎo)致網(wǎng)絡(luò)安全問題十分嚴(yán)重。目前,網(wǎng)絡(luò)病毒與網(wǎng)絡(luò)攻擊十分猖獗,網(wǎng)絡(luò)攻擊大多是利用計(jì)算機(jī)或網(wǎng)絡(luò)防御體系中的漏洞,進(jìn)行隱秘是或者毀滅性的入侵,從而達(dá)到破壞或者盜取信息的目的。目前,最常見的網(wǎng)絡(luò)攻擊方式有木馬病毒攻擊、IP攻擊、端口攻擊、拒絕服務(wù)攻擊。
1.3對(duì)安全監(jiān)測(cè)數(shù)據(jù)信息上存在的問題方面
安全監(jiān)測(cè)數(shù)據(jù)信息上存在的問題主要是由于系統(tǒng)的訪問存在一定的缺陷,導(dǎo)致系統(tǒng)在訪問控制系統(tǒng)時(shí)只能夠解決程序內(nèi)部設(shè)定的問題解決,對(duì)于新出現(xiàn)的安全問題不能進(jìn)行及時(shí)的預(yù)警和解決,導(dǎo)致實(shí)際的數(shù)據(jù)安全受到一定的威脅,且計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)問題之后,往往會(huì)對(duì)原本的計(jì)算機(jī)處理系統(tǒng)造成嚴(yán)重的威脅,給計(jì)算機(jī)內(nèi)部數(shù)據(jù)造成更加嚴(yán)重的威脅。例如,20xx年出現(xiàn)的“敲詐者病毒”、“勒索病毒”給人們的財(cái)產(chǎn)安全帶來重大威脅。然而,大多數(shù)殺毒軟件都沒有做好數(shù)據(jù)監(jiān)測(cè)工作,只是在事后制定防御機(jī)制,而不能有效改變這一問題。對(duì)此,相關(guān)技術(shù)人員必須樹立正確的思想意識(shí),加強(qiáng)系統(tǒng)防護(hù)。嚴(yán)格按照相關(guān)規(guī)定對(duì)數(shù)據(jù)進(jìn)行監(jiān)測(cè),一旦發(fā)現(xiàn)問題及時(shí)啟動(dòng)預(yù)警防御措施。
2針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全對(duì)防火墻技術(shù)的應(yīng)用分析方面
對(duì)于計(jì)算機(jī)的網(wǎng)絡(luò)信息系統(tǒng)安全方面存在的問題,要建立起科學(xué)的防火墻技術(shù),利用網(wǎng)絡(luò)防火墻保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全工作。計(jì)算機(jī)網(wǎng)絡(luò)信息安全的保障思路,首先要考慮到的是數(shù)據(jù)加密的方法對(duì)于數(shù)據(jù)安全性的促進(jìn)作用,在實(shí)際的操作當(dāng)中,可以將數(shù)據(jù)進(jìn)行加密,結(jié)合計(jì)算機(jī)網(wǎng)絡(luò)防火墻實(shí)現(xiàn)對(duì)相應(yīng)數(shù)據(jù)的強(qiáng)化保護(hù)[2]。對(duì)于實(shí)際的數(shù)據(jù)加密的方式,主要是通過網(wǎng)絡(luò)連接和相應(yīng)的端口加密來進(jìn)行的,因此需要網(wǎng)絡(luò)安全維護(hù)程序當(dāng)中的控制端與協(xié)議類型符合實(shí)際的網(wǎng)絡(luò)數(shù)據(jù)篩選條件,以實(shí)現(xiàn)對(duì)數(shù)據(jù)的實(shí)時(shí)轉(zhuǎn)發(fā)。
3防火墻的種類及具體的使用方面
3.1對(duì)于包過濾防火墻技術(shù)的敘述
包過濾技術(shù)主要是指有選擇性的對(duì)信息進(jìn)行合理的判斷,分辨信息的實(shí)際意義,并拒絕不良信息傳輸?shù)募夹g(shù)。包過濾防火墻主要通過網(wǎng)絡(luò)參考模型中的數(shù)據(jù)傳輸與控制,來實(shí)現(xiàn)相應(yīng)計(jì)算機(jī)網(wǎng)絡(luò)的保護(hù)。例如,網(wǎng)絡(luò)傳輸工作當(dāng)中,在對(duì)網(wǎng)絡(luò)傳輸?shù)哪康腎P進(jìn)行相應(yīng)的保護(hù)工作時(shí),能夠主動(dòng)獲取信息傳輸中的IP,并對(duì)其中的數(shù)據(jù)包進(jìn)行必要的分析與識(shí)別,以保證正確信息傳輸?shù)陌踩院涂煽啃浴A硪环矫妫^濾防火墻技術(shù)可以在計(jì)算機(jī)的內(nèi)部形成新的監(jiān)測(cè)網(wǎng),從內(nèi)到外對(duì)信息進(jìn)行全面的控制和監(jiān)督,從而實(shí)現(xiàn)過濾數(shù)據(jù)、防御攻擊的目的[3]。另外,實(shí)際的包過濾防火墻技術(shù)往往應(yīng)用在路由器和電腦的主機(jī)上,它可以通過實(shí)際的需求選擇內(nèi)網(wǎng)封閉或者外網(wǎng)開放的應(yīng)用形式來實(shí)現(xiàn)對(duì)數(shù)據(jù)的監(jiān)控管理。
3.2應(yīng)用型防火墻與網(wǎng)路型防火墻方面
對(duì)于應(yīng)用型防火墻和網(wǎng)絡(luò)型防火墻的運(yùn)用來說,網(wǎng)絡(luò)型防火墻主要是通過網(wǎng)絡(luò)的IP端口地址轉(zhuǎn)化、注冊(cè)來確保與外網(wǎng)的連接正確,加強(qiáng)對(duì)網(wǎng)絡(luò)的實(shí)時(shí)控制。在實(shí)際的計(jì)算機(jī)訪問網(wǎng)絡(luò)的時(shí)候,即內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)溝通的時(shí)候,網(wǎng)絡(luò)防火墻發(fā)揮主要作用,它能夠?qū)ψ詣?dòng)的網(wǎng)絡(luò)終端地址和相應(yīng)的端口進(jìn)行監(jiān)督、分析、管理,通過改變終端地址和外界網(wǎng)絡(luò)與實(shí)際端口的連接來保證網(wǎng)絡(luò)得到有效的控制。計(jì)算機(jī)的防火墻是為了保護(hù)計(jì)算機(jī)各項(xiàng)工作穩(wěn)定進(jìn)行的基礎(chǔ),只有建立完善計(jì)算機(jī)防火墻,才能夠保證計(jì)算機(jī)各項(xiàng)數(shù)據(jù)的安全性,保證相應(yīng)用戶的各項(xiàng)隱私。所有數(shù)據(jù)要進(jìn)入系統(tǒng)必須經(jīng)過防火墻的篩選與過濾,這就給防火墻保護(hù)功能的發(fā)揮提供了可能,例如通過對(duì)某一頻繁發(fā)送信息的IP進(jìn)行鎖定,以抵御不法分子的攻擊。多防火墻聯(lián)合防御是提高網(wǎng)絡(luò)安全的重要方法。該技術(shù)方法結(jié)合了多種防火墻系統(tǒng),對(duì)網(wǎng)絡(luò)防火墻采用多種類型共同配置的方式配置防火墻,在計(jì)算機(jī)的內(nèi)部將防火墻的工作內(nèi)容分層次、分等級(jí)的設(shè)置,以保證相互之間的工作不受沖突。多個(gè)防火墻組成的安全系統(tǒng)可以監(jiān)控到不同區(qū)域的安全問題,各個(gè)防火墻通過相互之間的轉(zhuǎn)化,對(duì)網(wǎng)絡(luò)的不良信息進(jìn)行分層次的過濾,達(dá)到提升網(wǎng)絡(luò)系統(tǒng)整體安全的目的。
4計(jì)算機(jī)網(wǎng)絡(luò)信息安全中防火墻技術(shù)的有效運(yùn)用
計(jì)算機(jī)網(wǎng)絡(luò)的系統(tǒng)安全主要靠對(duì)整體網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控來實(shí)現(xiàn),簡單來說就是將先進(jìn)的科學(xué)技術(shù)融入到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)當(dāng)中,然后利用這些技術(shù)手段實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的全面管理,從而保證計(jì)算機(jī)用戶相關(guān)數(shù)據(jù)的機(jī)密性,保證相關(guān)數(shù)據(jù)的安全。在計(jì)算機(jī)實(shí)際使用的過程中,由于使用者之間存在一定的差異,他們對(duì)計(jì)算機(jī)安全防護(hù)墻的認(rèn)識(shí)也并不全面。例如,計(jì)算機(jī)網(wǎng)絡(luò)使用者會(huì)認(rèn)為防火墻的設(shè)置保護(hù)的是網(wǎng)絡(luò)形式的隱私和相應(yīng)信息,同時(shí)認(rèn)為防火墻能夠保證網(wǎng)絡(luò)不受外界各個(gè)因素的影響而安全運(yùn)行。在網(wǎng)絡(luò)系統(tǒng)的專業(yè)人員看來,防火墻技術(shù)對(duì)維護(hù)網(wǎng)絡(luò)信息的安全具有一定的促進(jìn)作用,其在網(wǎng)絡(luò)系統(tǒng)發(fā)生異常或者出現(xiàn)問題時(shí),能夠保護(hù)網(wǎng)絡(luò)信息。對(duì)于網(wǎng)絡(luò)信息的交流而言,信息的傳送方可以將相應(yīng)的信息加密處理,建立全面的安全網(wǎng)絡(luò)系統(tǒng)規(guī)則,從而實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)與外界連接傳輸信息的機(jī)密性和安全性,保證在不法分子入侵系統(tǒng)時(shí),無法窺探到信息的具體內(nèi)容。計(jì)算機(jī)的網(wǎng)絡(luò)防火墻技術(shù)在維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)信息安全上發(fā)揮了巨大的作用:
(1)計(jì)算機(jī)網(wǎng)絡(luò)防火墻能夠?qū)Υ嬖陲L(fēng)險(xiǎn)的文件和信息進(jìn)行有效的分析、研究、過濾,確認(rèn)文件安全后傳輸?shù)接?jì)算機(jī)當(dāng)中,防止計(jì)算機(jī)被病毒侵入;
(2)計(jì)算機(jī)網(wǎng)絡(luò)防火墻能夠在一些沒有得到正確授權(quán)的登入者登入時(shí),拒絕登入,及時(shí)防范不法分子侵入計(jì)算機(jī)盜取信息;
(3)計(jì)算機(jī)網(wǎng)絡(luò)防火墻也可以規(guī)范計(jì)算機(jī)用戶本身的操作,對(duì)于一些違規(guī)的和不安全的網(wǎng)站,能夠及時(shí)進(jìn)行屏蔽,規(guī)范用戶安全、合法地使用計(jì)算機(jī)網(wǎng)絡(luò)。實(shí)際的工作當(dāng)中,計(jì)算機(jī)網(wǎng)絡(luò)防火墻對(duì)于用戶來說,既是保障計(jì)算機(jī)網(wǎng)路安全的一種有效手段,又是規(guī)范用戶使用計(jì)算機(jī)網(wǎng)絡(luò)的一種行之有效的方式;
(4)對(duì)于一些企業(yè)或有工作需要的個(gè)人來說,計(jì)算機(jī)上涉及大量的數(shù)據(jù),計(jì)算機(jī)網(wǎng)絡(luò)防火墻的存在使得用戶數(shù)據(jù)文件的安全得到保障,避免用戶數(shù)據(jù)的安全受到威脅,避免文件被盜。計(jì)算機(jī)網(wǎng)絡(luò)防火墻是保障計(jì)算機(jī)網(wǎng)絡(luò)安全的一項(xiàng)基本措施,因此,要不斷的將先進(jìn)的技術(shù)融入到計(jì)算機(jī)網(wǎng)絡(luò)防火墻的建設(shè)當(dāng)中,已對(duì)其不斷的進(jìn)行優(yōu)化管理,充分發(fā)揮計(jì)算機(jī)網(wǎng)絡(luò)防火墻的真正作用。
5結(jié)論
綜上所述,對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)信息安全中防火墻技術(shù)的有效運(yùn)用與分析要從實(shí)際的科學(xué)技術(shù)出發(fā),將先進(jìn)的科學(xué)技術(shù)與實(shí)際的計(jì)算機(jī)網(wǎng)絡(luò)防火墻相結(jié)合,建立安全網(wǎng)絡(luò)信息安全管理系統(tǒng),使計(jì)算機(jī)用戶的實(shí)際信息得到可靠的保護(hù);將網(wǎng)絡(luò)安全管理與防火墻相結(jié)合,對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行必要的檢查的同時(shí),注重對(duì)系統(tǒng)本身的監(jiān)控管理,從而不斷的提高計(jì)算機(jī)網(wǎng)絡(luò)信息的安全性。
參考文獻(xiàn):
[1]駱兵.計(jì)算機(jī)網(wǎng)絡(luò)信息安全中防火墻技術(shù)的有效運(yùn)用分析[J].信息與電腦(理論版),20xx(9):193-194.[2]謝平.計(jì)算機(jī)網(wǎng)絡(luò)信息安全中防火墻技術(shù)的有效運(yùn)用研究[J].通訊世界,20xx(19):97-98.[3]何承.計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)的有效運(yùn)用分析[J].福建質(zhì)量管理,20xx(1):171-172.
防火墻技術(shù)論文8摘要:
網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,給人們生活帶來便利的同時(shí)一些網(wǎng)絡(luò)犯罪也逐漸出現(xiàn),因此信息安全的保密工作成為網(wǎng)絡(luò)建設(shè)中的關(guān)鍵點(diǎn),而防火墻技術(shù)就是其中重要的一個(gè)技術(shù)。防火墻相當(dāng)一個(gè)屏障,豎立在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間,保護(hù)內(nèi)部網(wǎng)絡(luò)安全。本文闡述了防火墻的功能,實(shí)現(xiàn)防火墻的主要技術(shù)手段,并對(duì)防火墻技術(shù)的未來進(jìn)行了展望。
關(guān)鍵詞:防火墻網(wǎng)絡(luò)安全發(fā)展趨勢(shì)
1防火墻概述
1.1防火墻的概念
防火墻主要是用來加強(qiáng)網(wǎng)絡(luò)之間的訪問和控制,以防止安全策略中禁止的通訊,從而保護(hù)計(jì)算機(jī)安全的一種硬件或軟件。它和建筑之中的防火墻功能有些類似,通常外部的網(wǎng)絡(luò)用戶以非法的手段從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,竊取數(shù)據(jù)。為了保護(hù)計(jì)算機(jī)的安全,防火墻對(duì)兩個(gè)或者以上的安全策略進(jìn)行檢查,進(jìn)行的通訊是否安全從而決定是否放行,同時(shí)也監(jiān)視者網(wǎng)絡(luò)的運(yùn)行狀態(tài)。設(shè)立防火墻的主要目的是出于信息的安全考慮,防止外部的用戶任意的瀏覽計(jì)算機(jī)內(nèi)部信息和竊取數(shù)據(jù),以達(dá)到保護(hù)計(jì)算機(jī)安全的目的。
1.2防火墻的功能
防火墻的功能主要有,隔離內(nèi)外網(wǎng)絡(luò),增加保密內(nèi)容,防止信息被有意盜竊。建立檢查點(diǎn),強(qiáng)化安全策略,記錄一些入侵途徑的日志,監(jiān)控網(wǎng)絡(luò)情況,為預(yù)警提供方便等。
2防火墻與入侵檢測(cè)技術(shù)
2.1入侵檢測(cè)系統(tǒng)概述
入侵檢測(cè)是對(duì)一些有害的信息進(jìn)行監(jiān)測(cè)或者阻止,它可以對(duì)信息安全提供保障。根據(jù)檢測(cè)系統(tǒng)監(jiān)測(cè)的對(duì)象是主機(jī)還是網(wǎng)絡(luò),可以將入侵檢測(cè)系統(tǒng)主要分為兩種。
2.1.1基于主機(jī)的入侵檢測(cè)系統(tǒng)這類系統(tǒng)主要用于保護(hù)運(yùn)行關(guān)鍵應(yīng)用的服務(wù)器。通過查看日志文件,可以發(fā)現(xiàn)入侵或者入侵的企圖,并迅速的啟動(dòng)應(yīng)急程序,從而到達(dá)避開檢測(cè)系統(tǒng)的目的。
2.1.2基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)這種入侵檢測(cè)系統(tǒng)通過在共享的網(wǎng)段上對(duì)數(shù)據(jù)的監(jiān)聽來收集數(shù)據(jù)并分析可疑的對(duì)象數(shù)據(jù),這種系統(tǒng)不要嚴(yán)格的審計(jì),因此對(duì)主機(jī)的要求不高,而且還可以提供對(duì)網(wǎng)絡(luò)通用的的保護(hù),不必去擔(dān)心不同主機(jī)的不同架構(gòu)。
2.2入侵檢測(cè)系統(tǒng)面臨的挑戰(zhàn)
入侵檢測(cè)系統(tǒng)(IDS)是近些年來發(fā)展起來的一種動(dòng)態(tài)安全防范技術(shù),它主要是通過對(duì)一些關(guān)鍵點(diǎn)收集信息并對(duì)它們進(jìn)行分析,看行為是否有被攻擊的跡象。這也是一種集檢測(cè)、記錄、報(bào)警、響應(yīng)的動(dòng)態(tài)安全技術(shù),它不僅能檢查外部的入侵行為,也可以檢測(cè)內(nèi)部的行為,這種檢測(cè)技術(shù)主要面臨著三個(gè)挑戰(zhàn),分別表現(xiàn)在以下幾個(gè)方面:
(1)如何來提高檢測(cè)數(shù)據(jù)的速度以適應(yīng)日益發(fā)展的網(wǎng)絡(luò)通信要求;
(2)如何來提高檢測(cè)系統(tǒng)的檢測(cè)安全性和準(zhǔn)確性;
(3)如何來提高整個(gè)檢測(cè)系統(tǒng)的互動(dòng)性能。這些挑戰(zhàn)在以后的信息安全問題中將繼續(xù)凸顯出來,所以只有繼續(xù)提高檢測(cè)技術(shù)來應(yīng)對(duì)這些方面的挑戰(zhàn)。
2.3防火墻與入侵技術(shù)的結(jié)合從概念上我們可以看出防火墻是一種對(duì)入侵比較被動(dòng)的防御,而入侵檢測(cè)相對(duì)來說是一種主動(dòng)的防御。防火墻作為第一道防線,阻止了網(wǎng)絡(luò)層的攻擊,拒絕了一些明顯的攻擊數(shù)據(jù)但是還是放入了一些隱藏攻擊的數(shù)據(jù),這時(shí)就需要入侵檢測(cè)技術(shù)的支持。如果防火墻加入了入侵檢測(cè)技術(shù)那么很快就會(huì)確認(rèn)入侵者,這樣就大大的提高了防火墻的整體防御效力。下面是防火墻和入侵檢測(cè)系統(tǒng)的兩種合作方式。一種是緊密的結(jié)合。這種結(jié)合就是把入侵檢測(cè)技術(shù)配置到防火墻中。這種結(jié)合使得所有的數(shù)據(jù)在經(jīng)過防火墻的同時(shí)也會(huì)接受入侵檢測(cè)技術(shù)的檢查。來判斷數(shù)據(jù)包是否有入侵嫌疑。從而達(dá)到即時(shí)阻擋。第二種是兩者之間拿出一個(gè)開放接口給對(duì)方調(diào)用,并且按照一定的協(xié)議進(jìn)行交流。這種結(jié)合方式是在對(duì)防火墻和入侵檢測(cè)的優(yōu)缺點(diǎn)進(jìn)行分析后研究建立的模型,實(shí)現(xiàn)了功能上的優(yōu)勢(shì)互補(bǔ)。無論是哪種方式,入侵檢測(cè)技術(shù)和防火墻的結(jié)合都很好的解決了防火墻可以阻擋但難發(fā)現(xiàn)入侵的弊端,同時(shí)也解決了入侵檢測(cè)技術(shù)容易發(fā)現(xiàn)進(jìn)攻但難阻擋的劣勢(shì)。這樣的結(jié)合型防火墻不僅能快速的發(fā)現(xiàn)進(jìn)攻而且還能夠及時(shí)做出反應(yīng)來阻擋進(jìn)攻。同時(shí)高效的收集有關(guān)入侵信息也給了入侵很大的威懾力。
3防火墻發(fā)展趨勢(shì)及前景
防火墻的一些安全問題暴露出防火墻的一些不足,防火墻開始出現(xiàn)了一種更高級(jí)的防火墻,這是也是防火墻一種設(shè)計(jì)理念的升華。這種較為先進(jìn)的防火墻帶有檢測(cè)系統(tǒng),它通過過濾數(shù)據(jù)來檢測(cè)入侵,這也是現(xiàn)有防火墻的一種主流模式了。在未來防火墻的檢測(cè)技術(shù)中將繼續(xù)聚合更多的范疇,這些聚合的范疇也很大的提高了防火墻的性能和功能的擴(kuò)展,與此同時(shí)我們可以展望未來的防火墻必定是向著多功能化、高性能、智能化、更安全的方向發(fā)展。
3.1多功能化防火墻
現(xiàn)在防火墻已經(jīng)出現(xiàn)了一種聚成多種功能的設(shè)計(jì)趨勢(shì),入侵檢測(cè)這樣的功能很多出現(xiàn)在現(xiàn)在防火墻產(chǎn)品中了,這樣的設(shè)計(jì)給管理性能帶來了不少的提升。甚至?xí)懈嘈路f的設(shè)計(jì)出現(xiàn)在防火墻中,比如短信功能,當(dāng)防火墻的規(guī)則被變更或者出現(xiàn)入侵攻擊的時(shí)候,報(bào)警行為會(huì)通過多種途徑將消息發(fā)送到管理員手中,包括即時(shí)短信,或者電話呼叫。以確保安全行為第一時(shí)間即被啟動(dòng)。也許在不久的將來我們就可以在防火墻產(chǎn)品上看到更多更出色的功能設(shè)計(jì)。
3.2高性能防火墻
另外一種趨勢(shì)是性能的提高,未來的防火墻在功能上的提高一定會(huì)伴隨著性能的提升,特別是數(shù)據(jù)的流量日益復(fù)雜更需要性能的保障。如果只是要求性能的提高必然會(huì)出現(xiàn)問題。單純的流量過濾性能問題是比較容易解決的問題,但是與應(yīng)用層涉及越密,性能提高需要面對(duì)的問題就會(huì)越來越復(fù)雜。特別是在大型應(yīng)用環(huán)境中防火墻規(guī)則庫有幾萬的記錄,這對(duì)防火墻的負(fù)荷來說是很大的考驗(yàn),所以一些并行處理技術(shù)的高性能防火墻將出現(xiàn)在人們的眼中。
3.3智能化防火墻
網(wǎng)絡(luò)中的一些以垃圾電子郵件的發(fā)送,惡意性網(wǎng)站網(wǎng)頁的彈出問題等,這些已經(jīng)不是簡單的防火墻技術(shù)可以解決的。傳統(tǒng)防火墻解決的效果差而且效果也不好,所以智能防火墻在未來的發(fā)展趨勢(shì)中也必定發(fā)揮出相應(yīng)的作用。所以不論是從功能還是性能或者其他方面來說防火墻在今后都將會(huì)迅速發(fā)展,這也是反映了信息安全對(duì)防火墻的要求,同時(shí)也是防火墻的發(fā)展趨勢(shì)。
參考文獻(xiàn)
[1]劉彥保.防火墻技術(shù)及其在網(wǎng)絡(luò)安全中的應(yīng)用[J].安徽教育學(xué)院學(xué)報(bào),20xx.[2]龍毅.探討防火墻技術(shù)的網(wǎng)絡(luò)安全[M].硅谷.20xx,(6):181-181.
第五篇:淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù) 論文
JIU JIANG UNIVERSITY
畢 業(yè) 論 文
題 目: 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全和防火墻技術(shù)
院 系: 信息科學(xué)與技術(shù)學(xué)院 專 業(yè): 網(wǎng)絡(luò)系統(tǒng)管理 姓 名:
年 級(jí): 指導(dǎo)老師 :
二零一一年十一月二十日
摘 要
隨著時(shí)代的發(fā)展,Internet日益普及,網(wǎng)絡(luò)已經(jīng)成為信息資源的海洋,給人們帶來了極大的方便。但由于Internet是一個(gè)開放的,無控制機(jī)構(gòu)的網(wǎng)絡(luò),經(jīng)常會(huì)受到計(jì)算機(jī)病毒、黑客的侵襲。它可使計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)和文件丟失,系統(tǒng)癱瘓。因此,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全問題必須放在首位。作為保護(hù)局域子網(wǎng)的一種有效手段,防火墻技術(shù)備受睞。
本文主要闡述了網(wǎng)絡(luò)安全技術(shù)所要受到的各方面威脅以及自身存在的一些缺陷,所謂知己知彼,百戰(zhàn)不殆。只有了解了網(wǎng)絡(luò)安全存在的內(nèi)憂外患,才能更好的改善網(wǎng)絡(luò)安全技術(shù),發(fā)展網(wǎng)絡(luò)安全技術(shù)。然后主要闡述防火墻在網(wǎng)絡(luò)安全中起到的巨大的作用,防火墻的優(yōu)缺點(diǎn)及各種類型防火墻的使用和效果。
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的在飛速發(fā)展中,尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛,在帶來了前所未有的海量信息的同時(shí),網(wǎng)絡(luò)的開放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性,網(wǎng)絡(luò)信息的安全性變得日益重要,只有熟悉了各種對(duì)網(wǎng)絡(luò)安全的威脅,熟悉各種保護(hù)網(wǎng)路安全的技術(shù),我們才能更好的保護(hù)計(jì)算機(jī)和信息的安全。
關(guān)鍵字:計(jì)算機(jī)網(wǎng)絡(luò);網(wǎng)絡(luò)安全;防范措施;防火墻技術(shù)
II
Abstract With the development of The Times, the Internet has become increasingly popular and network information resources of the sea, and bring great convenience。But because of the Internet is an open, without control network, computer virus, often by hackers。It can make the computer and the computer network, the system files and data loss。Therefore, the computer network system security problems must be given priority。As the protection of local subnet an effective means, firewall technology。
This article mainly elaborated by network security technology to every aspect of the threat and its existence, some defects, so-called awareness。The existence of the 1930's and network security, can improve network security technology, the development of network security technology。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。
The computer network technology, especially in the rapid development of the Internet is becoming more and more widely applied in brought an unprecedented huge amounts of information, network of openness and freedom in the private information and data were damaged or infringed, the possibility of network information security is becoming increasingly important, only familiar to all kinds of network security threats, familiar with various protection network security technology, we can better protect the computer and information security。
Key words: Computer network, Network security, The prevention measures, Firewall technology
III
目錄
摘 要..................................................................II Abstract..............................................................III 引言....................................................................5 第一章 網(wǎng)絡(luò)安全概述.....................................................6 1.1計(jì)算機(jī)網(wǎng)絡(luò)安全的含義...........................................................6 1.2網(wǎng)絡(luò)信息安全的主要威脅.........................................................6 1.2.1自然威脅...................................................................6 1.2.2人為威脅—黑客攻擊與計(jì)算機(jī)病毒.............................................6 1.3計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因...............................................8 1.5影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素.......................................................8 第二章 計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略..........................................10 2.1防火墻技術(shù)....................................................................10 2.2 數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)..............................................12 2.3 入侵檢測(cè)技術(shù).................................................................13 2.4防病毒技術(shù)....................................................................13 2.4.1 對(duì)付病毒有以下四種基本方法.................................................14 2.5安全管理隊(duì)伍的建設(shè)............................................................17 第三章防火墻技術(shù)........................................................18 3.1防火墻的定義..................................................................18 3.2防火墻的功能..................................................................18 3.2.1防火墻是網(wǎng)絡(luò)安全的屏障......................................................18 3.2.2防火墻的種類................................................................18 3.3 防火墻的技術(shù)原理............................................................18 3.4 防火墻的應(yīng)用.................................................................19 3.4.1個(gè)人防火墻的應(yīng)用............................................................19 3.4.2防火墻技術(shù)在校園網(wǎng)中應(yīng)用....................................................23 結(jié)論...................................................................25 致謝...................................................................26 參考文獻(xiàn)...............................................................27 IV
引言
近年來,隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來越廣泛,在帶來了前所未有的海量信息的同時(shí),計(jì)算機(jī)網(wǎng)絡(luò)的安全性變得日益重要起來,由于計(jì)算機(jī)網(wǎng)絡(luò)聯(lián)接形式的多樣性、終端分布的不均勻性、網(wǎng)絡(luò)的開放性和網(wǎng)絡(luò)資源的共享性等因素,致使計(jì)算機(jī)網(wǎng)絡(luò)容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊【1】。
為確保信息的安全與網(wǎng)絡(luò)暢通,研究計(jì)算機(jī)網(wǎng)絡(luò)的安全與防護(hù)措施已迫在眉捷,但網(wǎng)絡(luò)安全問題至今仍沒有能夠引起足夠的重視,更多的用戶認(rèn)為網(wǎng)絡(luò)安全問題離自己尚遠(yuǎn),這一點(diǎn)從大約有40%以上的用戶特別是企業(yè)級(jí)用戶沒有安裝防火墻(Firewall)便可以窺見一斑,而所有的問題都在向大家證明一個(gè)事實(shí),大多數(shù)的黑客入侵事件都是由于未能正確安裝防火墻而引發(fā),所以防火墻技術(shù)應(yīng)當(dāng)引起我們的注意和重視。
本文主要研究網(wǎng)絡(luò)安全的缺陷原由及網(wǎng)絡(luò)安全技術(shù)的原理和其他技術(shù),如防火墻技術(shù)對(duì)網(wǎng)絡(luò)安全起到的不可忽視的影響。
第一章 網(wǎng)絡(luò)安全概述
1.1計(jì)算機(jī)網(wǎng)絡(luò)安全的含義
計(jì)算機(jī)網(wǎng)絡(luò)安全的具體含義會(huì)隨著使用者的變化而變化,使用者不同,對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù),避免被竊聽、篡改和偽造;而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外,還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞,以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信,保持網(wǎng)絡(luò)通信的連續(xù)性。
從本質(zhì)上來講,網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網(wǎng)絡(luò)安全既有技術(shù)方面的問題,也有管理方面的問題,兩方面相互補(bǔ)充,缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。
1.2網(wǎng)絡(luò)信息安全的主要威脅
網(wǎng)絡(luò)安全所面臨的威脅來自很多方面,并且隨著時(shí)問的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。
1.2.1自然威脅
自然威脅可能來自于各種自然災(zāi)害、惡劣的場(chǎng)地環(huán)境、電磁輻射和電磁干擾、網(wǎng)絡(luò)設(shè)備的自然老化等。這些無目的的事件,有時(shí)會(huì)直接威脅網(wǎng)絡(luò)的安全,影響信息的存儲(chǔ)媒體。威脅分別有:
1.自然災(zāi)害(如雷電、地震、火災(zāi)、水災(zāi)等),物理損壞(如硬盤損壞、設(shè)備使用壽命到期、外力破損等),設(shè)備故障(如停電斷電、電磁干擾等),意外事故。
2.電磁泄漏(如偵聽微機(jī)操作過程)。
3.操作失誤(如刪除文件,格式化硬盤,線路拆除等),意外疏漏(如系統(tǒng)掉電、死機(jī)等系統(tǒng)崩潰)
4.計(jì)算機(jī)系統(tǒng)機(jī)房環(huán)境的安全。
1.2.2人為威脅—黑客攻擊與計(jì)算機(jī)病毒
人為威脅就是說對(duì)網(wǎng)絡(luò)的人為攻擊。這些攻擊手段都是通過尋找系統(tǒng)的弱點(diǎn)【2】,以便達(dá)到破壞、欺騙、竊取數(shù)據(jù)等目的,造成經(jīng)濟(jì)上和政治上不可估量的損失。網(wǎng)絡(luò)安全的人為威脅主要分為以下幾種: ? 網(wǎng)絡(luò)缺陷
Intemet由于它的開放性迅速在全球范圍內(nèi)普及,但也正是因?yàn)殚_放性使其保護(hù)信息安全存在先天不足。Internet最初的設(shè)計(jì)考慮主要是考慮資源共享,基本沒有考慮安全問題,缺乏相應(yīng)的安全監(jiān)督機(jī)制。
? 黑客攻擊
自1998年后,網(wǎng)上的黑客越來越多,也越來越猖獗;與此同時(shí)黑客技術(shù)逐漸被越來越多的人掌握現(xiàn)在還缺乏針對(duì)網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段,使得黑客攻擊的隱蔽性好,“殺傷力”強(qiáng),這是網(wǎng)絡(luò)安全的主要威脅之一。? 各種病毒
病毒時(shí)時(shí)刻刻威脅著整個(gè)互聯(lián)網(wǎng)。像Nimda和CodeRed的爆發(fā)更是具有深遠(yuǎn)的影響,促使人們不得不在網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)考慮對(duì)于各種病毒的檢測(cè)防治,對(duì)病毒徹底防御的重要性毋庸置疑。? 管理的欠缺及資源濫用
很多上了互聯(lián)網(wǎng)的企業(yè)缺乏對(duì)于網(wǎng)絡(luò)安全的認(rèn)識(shí),管理上存在很多漏洞,特別是國內(nèi)的企業(yè),只是提供了接入Internet的通道,對(duì)于網(wǎng)絡(luò)上黑客的攻擊缺乏基本的應(yīng)對(duì)措施,同時(shí)企業(yè)內(nèi)部普遍存在資源濫用現(xiàn)象,這是造成網(wǎng)絡(luò)安全問題的根本原因。軟件的漏洞和后門:隨著CPU的頻率越來越高,軟件的規(guī)模越來越大,軟件系統(tǒng)中的漏洞也不可避免的存在,強(qiáng)大如微軟所開發(fā)的Windows也存在。各種各樣的安全漏洞和“后門”,這是網(wǎng)絡(luò)安全的主要威脅之一。? 網(wǎng)絡(luò)內(nèi)部用戶的誤操作和惡意行為
對(duì)于來自網(wǎng)絡(luò)內(nèi)部的攻擊,主流的網(wǎng)絡(luò)安全產(chǎn)品防火墻基本無能為力,這類攻擊及其誤操作行為需要網(wǎng)絡(luò)信息審計(jì)、IDS等主要針對(duì)內(nèi)部網(wǎng)絡(luò)安全的安全產(chǎn)品來抵御。
? 網(wǎng)絡(luò)資源濫用
網(wǎng)絡(luò)有了安全保證和帶寬管理,依然不能防止員工對(duì)網(wǎng)絡(luò)資源的濫用。等行為極大地降低了員工的工作效率。管理層希望員工更加有效地使用互聯(lián)網(wǎng),盡量避免網(wǎng)絡(luò)對(duì)工作帶來負(fù)面影響。? 信息泄漏
惡意、過失的不合理信息上傳和發(fā)布,可能會(huì)造成敏感信息泄漏、有害信息擴(kuò)散,危及社會(huì)、國家、體和個(gè)人利益。更有基于競(jìng)爭需要,利用技術(shù)手段對(duì)目標(biāo)機(jī)信息資源進(jìn)行竊取。在眾多人為威脅中來自用戶和惡意軟件即計(jì)算機(jī)病毒的非法侵入嚴(yán)重,計(jì)算機(jī)病毒是利用程序干擾破壞系統(tǒng)正常工作的一種手段,它的產(chǎn)生和蔓延給信息系統(tǒng)的可靠性和安全性帶來嚴(yán)重的威脅和巨大的損失。? 操作系統(tǒng)存在的安全問題
操作系統(tǒng)是作為一個(gè)支撐軟件,使得你的程序或別的應(yīng)用系統(tǒng)在上面正常運(yùn)行的一個(gè)環(huán)境。操作系統(tǒng)提供了很多的管理功能,主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性,系統(tǒng)開發(fā)設(shè)計(jì)的不周而留下的破綻,都給網(wǎng)絡(luò)安全留下隱患。
? 數(shù)據(jù)庫存儲(chǔ)的內(nèi)容存在的安全問題
數(shù)據(jù)庫管理系統(tǒng)大量的信息存儲(chǔ)在各種各樣的數(shù)據(jù)庫里面,包括我們上網(wǎng)看到的所有信息,數(shù)據(jù)庫主要考慮的是信息方便存儲(chǔ)、利用和管理,但在安全方面考慮的比較少。例如:授權(quán)用戶超出了訪問權(quán)限進(jìn)行數(shù)據(jù)的更改活動(dòng);非法用戶繞過安全內(nèi)核,竊取信息。對(duì)于數(shù)據(jù)庫的安全而言,就是要保證數(shù)據(jù)的安全可靠和正確有效,即確保數(shù)據(jù)的安全性、完整性。數(shù)據(jù)的安全性是防止數(shù)據(jù)庫被破壞和非法的存取;數(shù)據(jù)庫的完整性是防止數(shù)據(jù)庫中存在不符合語義的數(shù)據(jù)。
1.3計(jì)算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生原因
①網(wǎng)絡(luò)安全天生脆弱
計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的脆弱性是伴隨計(jì)算機(jī)網(wǎng)絡(luò)一同產(chǎn)生的,換句話說,安全系統(tǒng)脆弱是計(jì)算機(jī)網(wǎng)絡(luò)與生俱來的致命弱點(diǎn)。在網(wǎng)絡(luò)建設(shè)中,網(wǎng)絡(luò)特性決定了不可能無條件、無限制的提高其安全性能。要使網(wǎng)絡(luò)更方便快捷,又要保證網(wǎng)絡(luò)安全,這是一個(gè)非常棘手的“兩難選擇”,而網(wǎng)絡(luò)安全只能在“兩難選擇”所允許的范圍中尋找支撐點(diǎn)。可以說世界上任何一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)都不是絕對(duì)安全的
②黑客攻擊后果嚴(yán)重
近幾年,黑客猖狂肆虐,四面出擊,使交通通訊網(wǎng)絡(luò)中斷,軍事指揮系統(tǒng)失靈,電力供水系統(tǒng)癱瘓,銀行金融系統(tǒng)混亂??危及國家的政治、軍事、經(jīng)濟(jì)的安全與穩(wěn)定,在世界各國造成了難以估量的損失。
③網(wǎng)絡(luò)殺手集團(tuán)化
目前,網(wǎng)絡(luò)殺手除了一般的黑客外,還有一批具有高精尖技術(shù)的“專業(yè)殺手”,更令人擔(dān)憂的是出現(xiàn)了具有集團(tuán)性質(zhì)的“網(wǎng)絡(luò)恐怖分子”甚至政府出面組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”,其規(guī)模化、專業(yè)性和破壞程度都使其他黑客望塵莫及。可以說,由政府組織的“網(wǎng)絡(luò)戰(zhàn)”、“黑客戰(zhàn)”是當(dāng)前網(wǎng)絡(luò)安全的最大隱患。目前,美國正開展用無線電方式、衛(wèi)星輻射式注入方式、網(wǎng)絡(luò)方式把病毒植入敵方計(jì)算機(jī)主機(jī)或各類傳感器、網(wǎng)橋中的研究以伺機(jī)破壞敵方的武器系統(tǒng)、指揮控制系統(tǒng)、通信系統(tǒng)等高敏感的網(wǎng)絡(luò)系統(tǒng)。另外,為達(dá)到預(yù)定目的,對(duì)出售給潛在敵手的計(jì)算機(jī)芯片進(jìn)行暗中修改,在CPU中設(shè)置“芯片陷阱”,可使美國通過因特網(wǎng)發(fā)布指令讓敵方電腦停止工作,以起到“定時(shí)炸彈”的作用。
1.5影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素
①網(wǎng)絡(luò)資源的共享性
資源共享是計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的主要目的,但這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞提供了機(jī)會(huì)。隨著互聯(lián)網(wǎng)需求的日益增長,外部服務(wù)請(qǐng)求不可能做到完全隔離,攻擊者利用服務(wù)請(qǐng)求的機(jī)會(huì)很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。
②網(wǎng)絡(luò)的開放性
網(wǎng)上的任何一個(gè)用戶很方便訪問互聯(lián)網(wǎng)上的信息資源,從而很容易獲取到一個(gè)企業(yè)、單位以及個(gè)人的敏感性信息。
③網(wǎng)絡(luò)操作系統(tǒng)的漏洞
網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)服務(wù)得以實(shí)現(xiàn)的最終載體之一,它不僅
負(fù)責(zé)網(wǎng)絡(luò)硬件設(shè)備的接口封裝,同時(shí)還提供網(wǎng)絡(luò)通信所需要的各種協(xié)議和服務(wù)的程序?qū)崿F(xiàn)。由于網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性,決定了操作系統(tǒng)必然存在各種實(shí)現(xiàn)過程所帶來的缺陷和漏洞。
④網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷
網(wǎng)絡(luò)設(shè)計(jì)是指拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會(huì)直接帶來安全隱患。合理的網(wǎng)絡(luò)設(shè)計(jì)在節(jié)約資源的情況下,還可以提供較好的安全性。不合理的網(wǎng)絡(luò)設(shè)計(jì)則會(huì)成為網(wǎng)絡(luò)的安全威脅。
⑤惡意攻擊
就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒,這是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化,這類攻擊也是越來越多,影響越來越大。
第二章 計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略
計(jì)算機(jī)網(wǎng)絡(luò)安全從技術(shù)上來說,主要由防病毒、防火墻、入侵檢測(cè)等多個(gè)安全組件組成,任何一個(gè)單獨(dú)的組件都無法確保網(wǎng)絡(luò)信息的安全性。目前廣泛運(yùn)用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有:防火墻技術(shù)、數(shù)據(jù)加密技術(shù)、入侵檢測(cè)技術(shù)、防病毒技術(shù)等,以下就此幾項(xiàng)技術(shù)分別進(jìn)行分析。2.1防火墻技術(shù)
防火墻
防火墻是汽車中一個(gè)部件的名稱。在汽車中,利用防火墻把乘客和引擎隔開,以便汽車引擎一旦著火,防火墻不但能保護(hù)乘客安全,而同時(shí)還能讓司機(jī)繼續(xù)控制引擎。在電腦術(shù)語中,當(dāng)然就不是這個(gè)意思了,我們可 以類比來理解,在網(wǎng)絡(luò)中,所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法,它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問控制尺度,它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò),同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說,如果不通過防火墻,公司內(nèi)部的人就無法訪問Internet,Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。
防火墻(FireWall)成為近年來新興的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)性措施。它是一種隔離控制技術(shù),在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)(如Internet)之間設(shè)置屏障,阻止對(duì)信息資源的非法訪問,也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。作為Internet網(wǎng)的安全性保護(hù)軟件,F(xiàn)ireWall已經(jīng)得到廣泛的應(yīng)用。通常企業(yè)為了維護(hù)內(nèi)部的信息系統(tǒng)安全,在企業(yè)網(wǎng)和Internet間設(shè)立FireWall軟件。企業(yè)信息系統(tǒng)對(duì)于來自Internet的訪問,采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問,也可以接收或拒絕TCP/IP上的某一類具體的應(yīng)用。如果在某一臺(tái)IP主機(jī)上有需要禁止的信息或危險(xiǎn)的用戶,則可以通過設(shè)置使用FireWall過濾掉從該主機(jī)發(fā)出的包。如果一個(gè)企業(yè)只是使用Internet的電子郵件和WWW服務(wù)器向外部提供信息,那么就可以在FireWall上設(shè)置使得只有這兩類應(yīng)用的數(shù)據(jù)包可以通過。這對(duì)于路由器來說,就要不僅分析IP層的信息,而且還要進(jìn)一步了解TCP傳輸層甚至應(yīng)用層的信息以進(jìn)行取舍。FireWall一般安裝在路由器 上以保護(hù)一個(gè)子網(wǎng),也可以安裝在一臺(tái)主機(jī)上,保護(hù)這臺(tái)主機(jī)不受侵犯。
為了讓大家更好地使用防火墻,我們從反面列舉4個(gè)有代表性的失敗案例。例1:未制定完整的企業(yè)安全策略
網(wǎng)絡(luò)環(huán)境:某中型企業(yè)購買了適合自己網(wǎng)絡(luò)特點(diǎn)的防火墻,剛投入使用后,發(fā)現(xiàn)以前局域網(wǎng)中肆虐橫行的蠕蟲病毒不見了,企業(yè)網(wǎng)站遭受拒絕服務(wù)攻擊的次數(shù)也大大減少了,為此,公司領(lǐng)導(dǎo)特意表揚(yáng)了負(fù)責(zé)防火墻安裝實(shí)施的信息部。
該企業(yè)網(wǎng)絡(luò)環(huán)境如圖2.1所示:
圖2.1 該企業(yè)內(nèi)部網(wǎng)絡(luò)的核心交換機(jī)是帶路由模塊的三層交換機(jī),出口通過路由器和ISP連接。內(nèi)部網(wǎng)劃分為5個(gè)VLAN,VLAN
1、VLAN 2和VLAN 3分配給不同的部門使用,不同的VLAN之間根據(jù)部門級(jí)別設(shè)置訪問權(quán)限;VLAN 4分配給交換機(jī)出口地址和路由器使用;VLAN 5分配給公共服務(wù)器使用。在沒有加入防火墻之前,各個(gè)VLAN中的PC機(jī)能夠通過交換機(jī)和路由器不受限制地訪問Internet。加入防火墻后,給防火墻分配一個(gè)VLAN 4中的空閑IP地址,并把網(wǎng)關(guān)指向路由器;將VLAN 5接入到防火墻的一個(gè)網(wǎng)口上。這樣,防火墻就把整個(gè)網(wǎng)絡(luò)分為3個(gè)區(qū)域: 內(nèi)部網(wǎng)、公共服務(wù)器區(qū)和外部網(wǎng),三者之間的通信受到防火墻安全規(guī)則的限制。
問題描述:防火墻投入運(yùn)行后,實(shí)施了一套較為嚴(yán)格的安全規(guī)則,導(dǎo)致公司員工無法使用QQ聊天軟件,于是沒過多久就有員工自己撥號(hào)上網(wǎng),導(dǎo)致感染了特洛依木馬和蠕蟲等病毒,并立刻在公司內(nèi)部局域網(wǎng)中傳播開來,造成內(nèi)部網(wǎng)大面積癱瘓。
問題分析:我們知道,防火墻作為一種保護(hù)網(wǎng)絡(luò)安全的設(shè)備,必須部署在受保護(hù)網(wǎng)絡(luò)的邊界處,只有這樣防火墻才能控制所有出入網(wǎng)絡(luò)的數(shù)據(jù)通信,達(dá)到將入侵者拒之門外的目的。如果被保護(hù)網(wǎng)絡(luò)的邊界不惟一,有很多出入口,那么只部署一臺(tái)防火墻是不夠的。在本案例中,防火墻投入使用后,沒有禁止私自撥號(hào)上網(wǎng)行為,使得許多PC機(jī)通過電話線和Internet相連,導(dǎo)致網(wǎng)絡(luò)邊界不惟一,入侵者可以通過攻擊這些PC機(jī)然后進(jìn)一步攻擊內(nèi)部網(wǎng)絡(luò),從而成功地避開了防火墻。
解決辦法:根據(jù)自己企業(yè)網(wǎng)的特點(diǎn),制定一整套安全策略,并徹底地貫徹實(shí)施。比如說,制定一套安全管理規(guī)章制度,嚴(yán)禁員工私自撥號(hào)上網(wǎng);同時(shí)封掉撥號(hào)上網(wǎng)的電話號(hào)碼,并購買檢測(cè)撥號(hào)上網(wǎng)的軟件,這樣從管理和技術(shù)上杜絕出現(xiàn)網(wǎng)絡(luò)邊界不惟一的情況發(fā)生。另外,考慮到企業(yè)員工的需求,可以在防火墻上添加按照時(shí)間段生效的安全規(guī)則,在非工作時(shí)間打開QQ使用的TCP/UDP端口,使得企業(yè)員工可以在工余時(shí)間使用QQ聊天軟件。
例2:未考慮與其他安全產(chǎn)品的配合使用
問題描述:某公司購買了防火墻后,緊接著又購買了漏洞掃描和IDS(入侵檢測(cè)系統(tǒng))產(chǎn)品。當(dāng)系統(tǒng)管理員利用IDS發(fā)現(xiàn)入侵行為后,必須每次都要手工調(diào)
整防火墻安全策略,使管理員工作量劇增,而且經(jīng)常調(diào)整安全策略,也給整個(gè)網(wǎng)絡(luò)帶來不良影響。
問題分析:選購防火墻時(shí)未充分考慮到與其他安全產(chǎn)品如IDS的聯(lián)動(dòng)功能,導(dǎo)致不能最大程度地發(fā)揮安全系統(tǒng)的作用。
解決辦法:購買防火墻前應(yīng)查看企業(yè)網(wǎng)是否安裝了漏洞掃描或IDS等其他安全產(chǎn)品,以及具體產(chǎn)品名稱和型號(hào),然后確定所要購買的防火墻是否有聯(lián)動(dòng)功能(即是否支持其他安全產(chǎn)品,尤其是IDS產(chǎn)品),支持的是哪些品牌和型號(hào)的產(chǎn)品,是否與已有的安全產(chǎn)品名稱相符,如果不符,最好不要選用,而選擇能同已有安全產(chǎn)品聯(lián)動(dòng)的防火墻。這樣,當(dāng)IDS發(fā)現(xiàn)入侵行為后,在通知管理員的同時(shí)發(fā)送消息給防火墻,由防火墻自動(dòng)添加相關(guān)規(guī)則,把入侵者拒之門外。
例3:未經(jīng)常維護(hù)升級(jí)防火墻 問題描述:某政府機(jī)構(gòu)購置防火墻后已安全運(yùn)行一年多,由于該機(jī)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)一直很穩(wěn)定,沒有什么變化,各種應(yīng)用也運(yùn)行穩(wěn)定,因此管理員逐漸放松了對(duì)防火墻的管理,只要網(wǎng)絡(luò)一直保持暢通即可,不再關(guān)心防火墻的規(guī)則是否需要調(diào)整,軟件是否需要升級(jí)。而且由于該機(jī)構(gòu)處于政府專網(wǎng)內(nèi),與Internet物理隔離,防火墻無法實(shí)現(xiàn)在線升級(jí)。因此該機(jī)構(gòu)的防火墻軟件版本一直還是購買時(shí)的舊版本,雖然管理員一直都收到防火墻廠家通過電子郵件發(fā)來的軟件升級(jí)包,但從未手工升級(jí)過。在一次全球范圍的蠕蟲病毒迅速蔓延事件中,政府專網(wǎng)也受到蠕蟲病毒的感染,該機(jī)構(gòu)防火墻因?yàn)闆]有及時(shí)升級(jí),無法抵御這種蠕蟲病毒的攻擊,造成整個(gè)機(jī)構(gòu)的內(nèi)部網(wǎng)大面積受感染,網(wǎng)絡(luò)陷于癱瘓之中。
問題分析:安全與入侵永遠(yuǎn)是一對(duì)矛盾。防火墻軟件作為一種安全工具,必須不斷地升級(jí)與更新才能應(yīng)付不斷發(fā)展的入侵手段,過時(shí)的防護(hù)盾牌是無法抵擋最先進(jìn)的長矛的。作為安全管理員來說,應(yīng)當(dāng)時(shí)刻留心廠家發(fā)布的升級(jí)包,及時(shí)給防火墻打上最新的補(bǔ)丁。
解決辦法:及時(shí)維護(hù)防火墻,當(dāng)本機(jī)構(gòu)發(fā)生人員變動(dòng)、網(wǎng)絡(luò)調(diào)整和應(yīng)用變化時(shí),要及時(shí)調(diào)整防火墻的安全規(guī)則,及時(shí)升級(jí)防火墻。
從以上三個(gè)案例我們可以得出一些結(jié)論:防火墻只是保證安全的一種技術(shù)手段,要想真正實(shí)現(xiàn)安全,安全策略是核心問題。保護(hù)網(wǎng)絡(luò)安全不僅僅是防火墻一種產(chǎn)品,只有將多種安全產(chǎn)品無縫地結(jié)合起來,充分利用它們各自的優(yōu)點(diǎn),才能最大限度地保證網(wǎng)絡(luò)安全。而保護(hù)網(wǎng)絡(luò)安全是動(dòng)態(tài)的過程,防火墻需要積極地維護(hù)和升級(jí)。
2.2 數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)
與防火墻相比,數(shù)據(jù)加密與用戶授權(quán)訪問控制技術(shù)比較靈活,更加適用于開放的網(wǎng)絡(luò)。用戶授權(quán)訪問控制主要用于對(duì)靜態(tài)信息的保護(hù),需要系統(tǒng)級(jí)別的支持,一般在操作系統(tǒng)中實(shí)現(xiàn)。數(shù)據(jù)加密主要用于對(duì)動(dòng)態(tài)信息的保護(hù)。對(duì)動(dòng)態(tài)數(shù)據(jù)的攻擊分為主動(dòng)攻擊和被動(dòng)攻擊。對(duì)于主動(dòng)攻擊,雖無法避免,但卻可以有效地檢測(cè);而對(duì)于被動(dòng)攻擊,雖無法檢測(cè),但卻可以避免,實(shí)現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密。數(shù)據(jù)加密實(shí)質(zhì)上是對(duì)以符號(hào)為基礎(chǔ)的數(shù)據(jù)進(jìn)行移位和置換的變換算法,這種變換是對(duì)稱密鑰算法”。這樣的密鑰必須秘密保管,只能為授權(quán)用戶所知,授權(quán)用戶既可以用該密鑰加密信急,也可以用該密鑰解密信息,DES是對(duì)稱加密算法中最具代表性的算法。在公鑰加密算法中,公鑰是公開的,任何人可以用公鑰加密信息,再將密文發(fā)送給私鑰擁有者。私鑰是保密的,用于解密其接收的公鑰加密過的信息【5】。典型的公鑰加密算法~nRSA是目前使用比較廣泛的加密算法
2.3 入侵檢測(cè)技術(shù)
入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem,IDS)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息,再通過此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)。IDS被認(rèn)為是防火墻之后的第二道安全閘門,它能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前,檢測(cè)到入侵攻擊,并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊:在入侵攻擊過程中,能減少入侵攻擊所造成的損失;在被入侵攻擊后,收集入侵攻擊的相關(guān)信息,作為防范系統(tǒng)的知識(shí),添加入策略集中,增強(qiáng)系統(tǒng)的防范能力,避免系統(tǒng)再次受到同類型的入侵【6】。
入侵檢測(cè)的作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和起訴支持。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。入侵檢測(cè)技術(shù)的功能主要體現(xiàn)在以下方面: 1)分析用戶及系統(tǒng)活動(dòng),查找非法用戶和合法用戶的越權(quán)操作; 2)檢測(cè)系統(tǒng)配置的正確性和安全漏洞,并提示管理員修補(bǔ)漏洞; 3)識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人上報(bào)警; 4)對(duì)異常行為模式的統(tǒng)計(jì)分析;
5)能夠?qū)崟r(shí)地對(duì)檢測(cè)到的入侵行為進(jìn)行反應(yīng); 6)評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性; 7)可以發(fā)現(xiàn)新的攻擊模式; 入侵檢測(cè)方法
方法有很多,如基于專家系統(tǒng)入侵檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)方法等。目前一些入侵檢測(cè)系統(tǒng)在應(yīng)用層入侵檢測(cè)中已有實(shí)現(xiàn)
1.監(jiān)視、分析用戶及系統(tǒng)活動(dòng);
2.系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì);
3.識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)警;
4.異常行為模式的統(tǒng)計(jì)分析;
5.評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;
6.操作系統(tǒng)的審計(jì)跟蹤管理,并識(shí)別用戶違反安全策略的行為。
入侵檢測(cè)技術(shù)同樣存在問題
1.現(xiàn)有的入侵檢測(cè)系統(tǒng)檢測(cè)速度遠(yuǎn)小于網(wǎng)絡(luò)傳輸速度, 導(dǎo)致誤報(bào)率和漏報(bào)率
2.入侵檢測(cè)產(chǎn)品和其它網(wǎng)絡(luò)安全產(chǎn)品結(jié)合問題, 即期間的信息交換,共同協(xié)作發(fā)現(xiàn)攻擊并阻擊攻擊
3.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)對(duì)加密的數(shù)據(jù)流及交換網(wǎng)絡(luò)下的數(shù)據(jù)流不能進(jìn)行檢測(cè), 并且其本身構(gòu)建易受攻擊
4.入侵檢測(cè)系統(tǒng)體系結(jié)構(gòu)問題
2.4 防病毒技術(shù)
計(jì)算機(jī)病毒的預(yù)防技術(shù)就是通過一定的技術(shù)手段防止計(jì)算機(jī)病毒對(duì)系統(tǒng)的傳染和
破壞。實(shí)際上這是一種動(dòng)態(tài)判定技術(shù),即一種行為規(guī)則判定技術(shù)。也就是說,計(jì)算機(jī)病毒的預(yù)防是采用對(duì)病毒的規(guī)則進(jìn)行分類處理,而后在程序運(yùn)作中凡有類似的規(guī)則出現(xiàn)則認(rèn)定是計(jì)算機(jī)病毒。具體來說,計(jì)算機(jī)病毒的預(yù)防是通過阻止計(jì)算機(jī)病毒進(jìn)入系統(tǒng)內(nèi)存或阻止計(jì)算機(jī)病毒對(duì)磁盤的操作,尤其是寫操作。
預(yù)防病毒技術(shù)包括:磁盤引導(dǎo)區(qū)保護(hù)、加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。例如,大家所熟悉的防病毒卡,其主要功能是對(duì)磁盤提供寫保護(hù),監(jiān)視在計(jì)算機(jī)和驅(qū)動(dòng)器之間產(chǎn)生的信號(hào)。以及可能造成危害的寫命令,并且判斷磁盤當(dāng)前所處的狀態(tài):哪一個(gè)磁盤將要進(jìn)行寫操作,是否正在進(jìn)行寫操作,磁盤是否處于寫保護(hù)等,來確定病毒是否將要發(fā)作。計(jì)算機(jī)病毒的預(yù)防應(yīng)用包括對(duì)已知病毒的預(yù)防和對(duì)未知病毒的預(yù)防兩個(gè)部分。目前,對(duì)已知病毒的預(yù)防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù),而對(duì)未知病毒的預(yù)防則是一種行為規(guī)則的判定技術(shù),即動(dòng)態(tài)判定技術(shù)。
一、計(jì)算機(jī)病毒的預(yù)防技術(shù)
計(jì)算機(jī)病毒的預(yù)防技術(shù)就是通過一定的技術(shù)手段防止計(jì)算機(jī)病毒對(duì)系統(tǒng)的傳染和破壞。實(shí)際上這是一種動(dòng)態(tài)判定技術(shù),即一種行為規(guī)則判定技術(shù)。也就是說,計(jì)算機(jī)病毒的預(yù)防是采用對(duì)病毒的規(guī)則進(jìn)行分類處理,而后在程序運(yùn)作中凡有類似的規(guī)則出現(xiàn)則認(rèn)定是計(jì)算機(jī)病毒。具體來說,計(jì)算機(jī)病毒的預(yù)防是通過阻止計(jì)算機(jī)病毒進(jìn)入系統(tǒng)內(nèi)存或阻止計(jì)算機(jī)病毒對(duì)磁盤的操作,尤其是寫操作。
預(yù)防病毒技術(shù)包括:磁盤引導(dǎo)區(qū)保護(hù)、加密可執(zhí)行程序、讀寫控制技術(shù)、系統(tǒng)監(jiān)控技術(shù)等。例如,大家所熟悉的防病毒卡,其主要功能是對(duì)磁盤提供寫保護(hù),監(jiān)視在計(jì)算機(jī)和驅(qū)動(dòng)器之間產(chǎn)生的信號(hào)。以及可能造成危害的寫命令,并且判斷磁盤當(dāng)前所處的狀態(tài):哪一個(gè)磁盤將要進(jìn)行寫操作,是否正在進(jìn)行寫操作,磁盤是否處于寫保護(hù)等,來確定病毒是否將要發(fā)作。計(jì)算機(jī)病毒的預(yù)防應(yīng)用包括對(duì)已知病毒的預(yù)防和對(duì)未知病毒的預(yù)防兩個(gè)部分。目前,對(duì)已知病毒的預(yù)防可以采用特征判定技術(shù)或靜態(tài)判定技術(shù),而對(duì)未知病毒的預(yù)防則是一種行為規(guī)則的判定技術(shù),即動(dòng)態(tài)判定技術(shù)。
二、檢測(cè)病毒技術(shù)
計(jì)算機(jī)病毒的檢測(cè)技術(shù)是指通過一定的技術(shù)手段判定出特定計(jì)算機(jī)病毒的一種技術(shù)。它有兩種:一種是根據(jù)計(jì)算機(jī)病毒的關(guān)鍵字、特征程序段內(nèi)容、病毒特征及傳染方式、文件長度的變化,在特征分類的基礎(chǔ)上建立的病毒檢測(cè)技術(shù)。另一種是不針對(duì)具體病毒程序的自身校驗(yàn)技術(shù)。即對(duì)某個(gè)文件或數(shù)據(jù)段進(jìn)行檢驗(yàn)和計(jì)算并保存其結(jié)果,以后定期或不定期地以保存的結(jié)果對(duì)該文件或數(shù)據(jù)段進(jìn)行檢驗(yàn),若出現(xiàn)差異,即表示該文件或數(shù)據(jù)段完整性已遭到破壞,感染上了病毒,從而檢測(cè)到病毒的存在。
三、清除病毒技術(shù)
計(jì)算機(jī)病毒的清除技術(shù)是計(jì)算機(jī)病毒檢測(cè)技術(shù)發(fā)展的必然結(jié)果,是計(jì)算機(jī)病毒傳染程序的一種逆過程。目前,清除病毒大都是在某種病毒出現(xiàn)后,通過對(duì)其進(jìn)行分析研究而研制出來的具有相應(yīng)解毒功能的軟件。這類軟件技術(shù)發(fā)展往往是被動(dòng)的,帶有滯后性。而且由于計(jì)算機(jī)軟件所要求的精確性,解毒軟件有其局限性,對(duì)有些變種病毒的清除無能為力。目前市場(chǎng)上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV,及我國的LANClear和Kill89等產(chǎn)品均采用上述三種防病毒技術(shù)
2.4.1 對(duì)付病毒有以下四種基本方法
1、基于網(wǎng)絡(luò)目錄和文件安全性方法
以NetWare為例,在NetWare中,提供了目錄和文件訪問權(quán)限與屬性兩種安全性措施。“訪問權(quán)限有:防問控制權(quán)、建立權(quán)、刪除權(quán)、文件掃描權(quán)、修改權(quán)、讀權(quán)、寫權(quán)和管理權(quán)。屬性有:需歸檔、拷貝禁止、刪除禁止、僅執(zhí)行、隱含、索引、清洗、讀審記、寫審記、只讀、讀寫、改名禁止、可共享、系統(tǒng)和交易。屬性優(yōu)先于訪問權(quán)限。根據(jù)用戶對(duì)目錄和文件的操作能力,分配不同的訪問權(quán)限和屬性。例如,對(duì)于公用目錄中的系統(tǒng)文件和工具軟件,應(yīng)該只設(shè)置只讀屬性,系統(tǒng)程序所在的目錄不要授予修改權(quán)和管理權(quán)。這樣,病毒就無法對(duì)系統(tǒng)程序?qū)嵤└腥竞图纳渌脩粢簿筒粫?huì)感染病毒。
由此可見,網(wǎng)絡(luò)上公用目錄或共享目錄的安全性措施,對(duì)于防止病毒在網(wǎng)上傳播起到積極作用。至于網(wǎng)絡(luò)用戶的私人目錄,由于其限于個(gè)別使用,病毒很難傳播給其它用戶。采用基于網(wǎng)絡(luò)目錄和文件安全性的方法對(duì)防止病毒起到了一定作用,但是這種方法畢竟是基于網(wǎng)絡(luò)操作系統(tǒng)的安全性的設(shè)計(jì),存在著局限性。現(xiàn)在市場(chǎng)上還沒有一種能夠完全抵御計(jì)算機(jī)病毒侵染的網(wǎng)絡(luò)操作系統(tǒng),從網(wǎng)絡(luò)安全性措施角度來看,在網(wǎng)絡(luò)上也是無法防止帶毒文件的入侵。
2、采用工作站防病毒芯片
這種方法是將防病毒功能集成在一個(gè)芯片上,安裝在網(wǎng)絡(luò)工作站上,以便經(jīng)常性地保護(hù)工作站及其通往服務(wù)器的路徑。工作站是網(wǎng)絡(luò)的門戶,只要將這扇門戶關(guān)好,就能有效地防止病毒的入侵。將工作站存取控制與病毒保護(hù)能力合二為一插在網(wǎng)卡的EPROM槽內(nèi),用戶也可以免除許多繁瑣的管理工作。
Trend Micro Devices公司解決的辦法是基于網(wǎng)絡(luò)上每個(gè)工作站都要求安裝網(wǎng)絡(luò)接口卡網(wǎng)絡(luò)接口卡上有一個(gè)Boot Rom芯片,因?yàn)槎鄶?shù)網(wǎng)卡的Boot Rom并沒有充分利用,都會(huì)剩余一些使用空間,所以如果安全程序夠小的話,就可以把它安裝在網(wǎng)絡(luò)的Boot Rom的剩余空間內(nèi),而不必另插一塊芯片。
市場(chǎng)上Chipway防病毒芯片就是采用了這種網(wǎng)絡(luò)防病毒技術(shù)。在工作站DOS引導(dǎo)過程中,ROMBIOS,Extended BIOS裝入后,Partition Table裝入之前,Chipway獲得控制權(quán),這樣可以防止引導(dǎo)型病毒。Chipway的特點(diǎn)是:①不占主板插槽,避免了沖突;②遵循網(wǎng)絡(luò)上國際標(biāo)準(zhǔn),兼容性好;③具有他工作站防毒產(chǎn)品的優(yōu)點(diǎn)。但目前,Chipway對(duì)防止網(wǎng)絡(luò)上廣為傳播的文件型病毒能力還十分有限。
3、采用Station Lock網(wǎng)絡(luò)防毒方法
Station Lock是著名防病毒產(chǎn)品開發(fā)商Trend Micro Devices公司的新一代網(wǎng)絡(luò)防病毒產(chǎn)品。其防毒概念是建立在”病毒必須執(zhí)行有限數(shù)量的程序之后,才會(huì)產(chǎn)生感染效力“的基礎(chǔ)之上。例如,病毒是一個(gè)不具自我辨別能力的小程序,在病毒傳染過程中至少必須攔截一個(gè)DOS中斷請(qǐng)求,而且必須試圖改變程序指針,以便讓系統(tǒng)優(yōu)先執(zhí)行病毒程序從而獲得系統(tǒng)控制權(quán)。引導(dǎo)型病毒必須使用系統(tǒng)的BIOS功能調(diào)用,文件型病毒必須將自己所有的程序代碼拷貝到另一個(gè)系統(tǒng)執(zhí)行文件時(shí)才能復(fù)制感染。混合型病毒和多形體病毒在實(shí)施感染之前也必須獲取系統(tǒng)控制權(quán),才能運(yùn)行病毒體程序而實(shí)施感染。Station Lock就是通過這些特點(diǎn),用間接方法觀察,精確地預(yù)測(cè)病毒的攻擊行為。其作用對(duì)象包括多型體病毒和未來型病毒。
Station Lock也能處理一些基本的網(wǎng)絡(luò)安全性問題,例如存取控制、預(yù)放未授權(quán)拷貝以及在一個(gè)點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)環(huán)境下限制工作站資源相互存取等。Station Lock能根據(jù)病毒活動(dòng)辯別可能的病毒攻擊意圖,并在它造成任
何破壞之前予以攔截。由于Station Lock是在啟動(dòng)系統(tǒng)開始之前,就接管了工作站上的硬件和軟件,所以病毒攻擊Station Lock是很困難的。Station Lock是目前網(wǎng)絡(luò)環(huán)境下防治病毒比較有效的方法。
4、基于服務(wù)器的防毒技術(shù)
服務(wù)器是網(wǎng)絡(luò)的核心,一旦服務(wù)器被病毒感染,就會(huì)使服務(wù)器無法啟動(dòng),整個(gè)網(wǎng)絡(luò)陷于癱瘓,造成災(zāi)難性后果。目前基于服務(wù)器的防治病毒方法大都采用了NLM(NetWare Load Module)技術(shù)以NLM模塊方式進(jìn)行程序設(shè)計(jì),以服務(wù)器為基礎(chǔ),提供實(shí)時(shí)掃描病毒能力。市場(chǎng)上的產(chǎn)品如Central Point公司的AntiVirus for Networks,Intel公司的LANdesk Virus Protect以及南京威爾德電腦公司的Lanclear for NetWare等都是采用了以服務(wù)器為基礎(chǔ)的防病毒技術(shù)。這些產(chǎn)品的目的都是保護(hù)服務(wù)器,使服務(wù)器不被感染。這樣,病毒也就失去了傳播途徑,因而從根本上杜絕了病毒在網(wǎng)上蔓延。
(1)對(duì)服務(wù)器中所有文件掃描
這一方法是對(duì)服務(wù)器的所有文件進(jìn)行集中檢查看其是否帶毒,若有帶毒文件,則提供給網(wǎng)絡(luò)管理員幾種處理方法。允許用戶清除病毒,或刪除帶毒文件,或更改帶毒文件名成為不可執(zhí)行文件名并隔離到一個(gè)特定的病毒文件目錄中。
(2)實(shí)時(shí)在線掃描
網(wǎng)絡(luò)防病毒技術(shù)必須保持全天24小時(shí)監(jiān)控網(wǎng)絡(luò)是否有帶毒文件進(jìn)入服務(wù)器。為了保證病毒監(jiān)測(cè)實(shí)時(shí)性,通常采用多線索的設(shè)計(jì)方法,讓檢測(cè)程序作為一個(gè)隨時(shí)可以激活的功能模塊,且在NetWare運(yùn)行環(huán)境中,不影響其它線索的運(yùn)行。這往往是設(shè)計(jì)一個(gè)NLM最重要的部分,即多線索的調(diào)度。實(shí)時(shí)在線掃描能非常及時(shí)地追蹤病毒的活動(dòng),及時(shí)告之網(wǎng)絡(luò)管理員和工作站用戶。
(3)掃描選擇
該功能允許網(wǎng)絡(luò)管理員定期檢查服務(wù)器中是否帶毒,例如可按每月、每星期、每天集中掃描一下網(wǎng)絡(luò)服務(wù)器,這樣就使網(wǎng)絡(luò)用戶擁有極大的操作選擇余地。
(4)自動(dòng)報(bào)告功能及病毒存檔
當(dāng)網(wǎng)絡(luò)用戶將帶毒文件有意或無意地拷入服務(wù)器中時(shí),網(wǎng)絡(luò)防病毒系統(tǒng)必須立即通知網(wǎng)絡(luò)管理員,或涉嫌病毒的使用者,同時(shí)自己記入病毒檔案。病毒檔案一般包括:病毒類型、病毒名稱、帶毒文件所存的目錄及工作站標(biāo)識(shí)等,另外,記錄對(duì)病毒文件處理方法。
(5)工作站掃描
基于服務(wù)器的防病毒軟件不能保護(hù)本地工作站的硬盤,有效的方法是在服務(wù)器上安裝防毒軟件,同時(shí)在上網(wǎng)的工作站內(nèi)存中調(diào)入一個(gè)常駐掃毒程序,實(shí)時(shí)檢測(cè)在工作站中運(yùn)行的程序。如LANdesk Virus Protect采用Lpscan,而LANClear for NetWare采用world程序等。
(6)對(duì)用戶開放的病毒特征接口
大家知道病毒及其變種層出不窮。據(jù)有關(guān)資料報(bào)道,截止1994年2月25日,全世界流傳的MSDOS病毒達(dá)2700多種。如何使防病毒系統(tǒng)能對(duì)付不斷出現(xiàn)的新病毒?這要求開發(fā)商能夠使自己的產(chǎn)品具有自動(dòng)升級(jí)功能,也就是真正交給網(wǎng)絡(luò)
用戶防治病毒的一把金鑰匙。其典型的做法是開放病毒特征數(shù)據(jù)庫。用戶隨時(shí)將遇到的帶毒文件,經(jīng)過病毒特征分析程序,自動(dòng)將病毒特征加入特征庫,以隨時(shí)增強(qiáng)抗毒能力。當(dāng)然這一工作難度極大,需要不懈的努力。在上述四種網(wǎng)絡(luò)防毒技術(shù)中,Station Lock是一種針對(duì)病毒行為的防治方法,StationLock目前已能提供Intel以太網(wǎng)絡(luò)接口卡支持,而且未來還將支持各種普及型的以太令牌環(huán)(Token-Ring)網(wǎng)絡(luò)接口卡。基于服務(wù)器的防治病毒方法,表現(xiàn)在可以集中式掃毒,能實(shí)現(xiàn)實(shí)時(shí)掃描功能,軟件升級(jí)方便。特別是當(dāng)連網(wǎng)的機(jī)器很多時(shí),利用這種方法比為每臺(tái)工作站都安裝防病毒產(chǎn)品要節(jié)省成本。其代表性的產(chǎn)品有LANdesk、LANClear for NetWare等。
2.5 安全管理隊(duì)伍的建設(shè)
在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中,絕對(duì)的安全是不存在的,制定健全的安全管理體制是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要保證,只有通過網(wǎng)絡(luò)管理人員與使用人員的共同努力,運(yùn)用一切可以使用的工具和技術(shù),盡一切可能去控制、減小一切非法的行為,盡可能地把不安全的因素降到最低。同時(shí),要不斷地加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)的安全規(guī)范化管理力度,大力加強(qiáng)安全技術(shù)建設(shè),強(qiáng)化使用人員和管理人員的安全防范意識(shí)。網(wǎng)絡(luò)內(nèi)使用的IP地址作為一種資源以前一直為某些管理人員所忽略,為了更好地進(jìn)行安全管理工作,應(yīng)該對(duì)本網(wǎng)內(nèi)的IP地址資源統(tǒng)一管理、統(tǒng)一分配。對(duì)于盜用IP資源的用戶必須依據(jù)管理制度嚴(yán)肅處理。只有共同努力,才能使計(jì)算機(jī)網(wǎng)絡(luò)的安全可靠得到保障,從而使廣大網(wǎng)絡(luò)用戶的利益得到保障。
第三章 防火墻技術(shù)
3.1 防火墻的定義
防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)網(wǎng)絡(luò)的安全政策控制(允許拒絕監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。
Internet防火墻是一個(gè)或一組系統(tǒng),它能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性,用于加強(qiáng)網(wǎng)絡(luò)間的訪問控制,防止外部用戶非法使用內(nèi)部網(wǎng)的資源,保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞,防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取,防火墻系統(tǒng)還決定了哪些內(nèi)部服務(wù)可以被外界訪問,外界的哪些人可以訪問內(nèi)部的服務(wù),以及哪些外部服務(wù)何時(shí)可以被內(nèi)部人員訪問。要使一個(gè)防火墻有效,所有來自和去往Internet的信息都必須經(jīng)過防火墻并接受檢查。防火墻必須只允許授權(quán)的數(shù)據(jù)通過,并且防火墻本身也必須能夠免于滲透。但是,防火墻系統(tǒng)一旦被攻擊突破或迂回繞過,就不能提供任何保護(hù)了。3.2防火墻的功能
3.2.1 防火墻是網(wǎng)絡(luò)安全的屏障
防火墻(作為阻塞點(diǎn),控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。
防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略,通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令加密身份認(rèn)證審計(jì)等)配置在防火墻上,對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì):所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù),當(dāng)發(fā)生可疑動(dòng)作時(shí),防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警,并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。防止內(nèi)部信息的外泄,通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離,而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。3.2.2防火墻的種類
防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同,總體來講可分為二大類:分組過濾,應(yīng)用代理。
分組過濾(Packetfiltering);作用在網(wǎng)絡(luò)層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號(hào),協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。
應(yīng)用代理(ApplicationProxy):也叫應(yīng)用網(wǎng)關(guān)(ApplicationGateway), 它作用在應(yīng)用層,其特點(diǎn)是完全 “ 阻隔 ” 了網(wǎng)絡(luò)通信流通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用,實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)【8】。
3.3 防火墻的技術(shù)原理
目前,防火墻系統(tǒng)的工作原理因?qū)崿F(xiàn)技術(shù)不同,大致可分為三種:(1)包過濾技術(shù)
包過濾技術(shù)是一種基于網(wǎng)絡(luò)層的防火墻技術(shù)。根據(jù)設(shè) 置好的過濾規(guī)則,通
過檢查IP數(shù)據(jù)包來確定是否該數(shù)據(jù)包通過。而那些不符合規(guī)定的IP地址會(huì)被防火墻過濾掉,由此保證網(wǎng)絡(luò)系統(tǒng)的安全。該技術(shù)通常可以過濾基于某些或所有下列信息組的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過濾技術(shù)實(shí)際上是一種基于路由器的技術(shù),其最大優(yōu)點(diǎn)就是價(jià)格便宜,實(shí)現(xiàn)邏輯簡單便于安裝和使用。
缺點(diǎn):1)過濾規(guī)則難以配置和測(cè)試。2)包過濾只訪問網(wǎng)絡(luò)層和傳輸層的信息,訪問信息有限,對(duì)網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。3)對(duì)一些協(xié)議,如UDP和RPC難以有效的過濾。
(2)代理技術(shù)
代理技術(shù)是與包過濾技術(shù)完全不同的另一種防火墻技術(shù)。其主要思想就是在兩個(gè)網(wǎng)絡(luò)之間設(shè)置一個(gè)“中間檢查站”,兩邊的網(wǎng)絡(luò)應(yīng)用可以通過這個(gè)檢查站相互通信,但是它們之間不能越過它直接通信。這個(gè)“中間檢查站”就是代理服務(wù)器,它運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間,對(duì)網(wǎng)絡(luò)之間的每一個(gè)請(qǐng)求進(jìn)行檢查。當(dāng)代理服務(wù)器接收到用戶請(qǐng)求后,會(huì)檢查用戶請(qǐng)求合法性。若合法,則把請(qǐng)求轉(zhuǎn)發(fā)到真實(shí)的服務(wù)器上,并將答復(fù)再轉(zhuǎn)發(fā)給用戶。代理服務(wù)器是針對(duì)某種應(yīng)用服務(wù)而寫的,工作在應(yīng)用層。
優(yōu)點(diǎn):它將內(nèi)部用戶和外界隔離開來,使得從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。與包過濾技術(shù)相比,代理技術(shù)是一種更安全的技術(shù)【9】。
缺點(diǎn):在應(yīng)用支持方面存在不足,執(zhí)行速度較慢。(3)狀態(tài)監(jiān)視技術(shù) 這是第三代防火墻技術(shù),集成了前兩者的優(yōu)點(diǎn)。能對(duì)網(wǎng)絡(luò)通信的各層實(shí)行檢測(cè)。同包過濾技術(shù)一樣,它能夠檢測(cè)通過IP地址、端口號(hào)以及TCP標(biāo)記,過濾進(jìn)出的數(shù)據(jù)包。它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接,不依靠與應(yīng)用層有關(guān)的代理,而是依靠某種算法來識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù),這些算法通過己知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包,這樣從理論上就能比應(yīng)用級(jí)代理在過濾數(shù)據(jù)包上更有效。
狀態(tài)監(jiān)視器的監(jiān)視模塊支持多種協(xié)議和應(yīng)用程序,可方便地實(shí)現(xiàn)應(yīng)用和服務(wù)的擴(kuò)充。此外,它還可監(jiān)測(cè)RPC和UDP端口信息,而包過濾和代理都不支持此類端口。這樣,通過對(duì)各層進(jìn)行監(jiān)測(cè),狀態(tài)監(jiān)視器實(shí)現(xiàn)網(wǎng)絡(luò)安全的目的。目前,多使用狀態(tài)監(jiān)測(cè)防火墻,它對(duì)用戶透明,在OSI最高層上加密數(shù)據(jù),而無需修改客戶端程序,也無需對(duì)每個(gè)需在防火墻上運(yùn)行的服務(wù)額外增加一個(gè)代理。
要想建立一個(gè)真正行之有效的安全的計(jì)算機(jī)網(wǎng)絡(luò),僅使用防火墻還是不夠,在實(shí)際的應(yīng)用中,防火墻常與其它安全措施,比如加密技術(shù)、防病毒技術(shù)等綜合應(yīng)用,才起到防御的最大化的效果。3.4 防火墻的應(yīng)用
3.4.1 個(gè)人防火墻的應(yīng)用 瑞星個(gè)人防火墻的應(yīng)用 1)安裝
第一步啟動(dòng)安裝程序。
當(dāng)把瑞星個(gè)人防火墻下載版安裝程序保存到您電腦中的指定目錄后,找到該目錄,雙擊運(yùn)行安裝程序,就可以進(jìn)行瑞星個(gè)人防火墻下載版的安裝了。
第二步完成安裝后,如圖3.1:
圖3.1 第三步輸入產(chǎn)品序列號(hào)和用戶ID。
啟動(dòng)個(gè)人防火墻,當(dāng)出現(xiàn)如圖3.2下所示的窗口后,在相應(yīng)位置輸入您購買獲得的產(chǎn)品序列號(hào)和用戶ID,點(diǎn)擊“確定”,通過驗(yàn)證后則會(huì)提示“您的瑞星個(gè)人防火墻現(xiàn)在可以正常使用”。
圖3.2 常見問題:不輸入產(chǎn)品序列號(hào)和用戶ID,產(chǎn)品將無法升級(jí),防火墻保護(hù)功能將全部失效,您的計(jì)算機(jī)將無法抵御黑客攻擊。
2)升級(jí)
第一步網(wǎng)絡(luò)配置:
?打開防火墻主程序
?在菜單中依次選擇【設(shè)置】/【設(shè)置網(wǎng)絡(luò)】,打開【網(wǎng)絡(luò)設(shè)置】窗口,如圖3.3
圖3.3 1。設(shè)定網(wǎng)絡(luò)連接方式,如果設(shè)定“通過代理服務(wù)器訪問網(wǎng)絡(luò)”,還需要輸入代理服務(wù)器IP、端口、身份驗(yàn)證信息。
2。您可以選中【使用安全升級(jí)模式】,確保升級(jí)期間阻止新的網(wǎng)絡(luò)連接 3。點(diǎn)擊【確定】按鈕完成設(shè)置
小提示:
1。如果您已經(jīng)可以瀏覽網(wǎng)頁,說明網(wǎng)絡(luò)設(shè)置已經(jīng)配置好了,這里直接使用默認(rèn)設(shè)置即可。
2。如果您不使用撥號(hào)方式上網(wǎng),將不會(huì)看到界面中【使用撥號(hào)網(wǎng)絡(luò)連接】的選項(xiàng)以及相關(guān)設(shè)置。
3。請(qǐng)確保此步設(shè)置正確,否則可能無法完成智能升級(jí)。
第二步:智能升級(jí)
完成網(wǎng)絡(luò)配置后,進(jìn)行智能升級(jí)的操作方法:
方法一:點(diǎn)擊主界面右側(cè)的【智能升級(jí)】按鈕,圖3.4示:
圖3.4 方法二:在菜單中依次選擇【操作】/【智能升級(jí)】
方法三:右鍵點(diǎn)擊防火墻托盤圖標(biāo),在彈出菜單中選擇【啟動(dòng)智能升級(jí)】 3)啟動(dòng)瑞星個(gè)人防火墻下載版程序
啟動(dòng)瑞星個(gè)人防火墻軟件主程序有三種方法:
方法一:進(jìn)入【開始】/【所有程序】/【瑞星個(gè)人防火墻】,選擇【瑞星個(gè)人防火墻】即可啟動(dòng)。
方法二:用鼠標(biāo)雙擊桌面上的【瑞星個(gè)人防火墻】快捷圖標(biāo)即可啟動(dòng)。方法三:用鼠標(biāo)單擊任務(wù)欄“快速啟動(dòng)”上的【瑞星個(gè)人防火墻】快捷圖標(biāo)
即可啟動(dòng)。
成功啟動(dòng)程序后的界面如下圖3.5所示:
圖3.5 主要界面元素
1、菜單欄:
用于進(jìn)行菜單操作的窗口,包括【操作】、【設(shè)置】、【幫助】三個(gè)菜單。如圖3.6示:
圖3.6
2、操作按鈕:
位于主界面右側(cè),包括【啟動(dòng)/停止保護(hù)】、【連接/斷開網(wǎng)絡(luò)】、【智能升級(jí)】、【查看日志】。如圖3。7示:
圖3.7 功能:停止防火墻的保護(hù)功能,執(zhí)行此功能后,您計(jì)算機(jī)將不再受瑞星防火墻的保護(hù)已處于停止保護(hù)狀態(tài)時(shí),此按鈕將變?yōu)椤締⒂帽Wo(hù)】;點(diǎn)擊將重新啟用防火墻的保護(hù)功能,您也可以通過菜單項(xiàng)【操作】/【停止保護(hù)】來執(zhí)行此功能;將您的計(jì)算機(jī)完全與網(wǎng)絡(luò)斷開,就如同拔掉網(wǎng)線或是關(guān)掉Modem一樣。其他人都不能訪問您的計(jì)算機(jī),但是您也不能再訪問網(wǎng)絡(luò)。這是在遇到頻繁攻擊時(shí)最為有效的應(yīng)對(duì)方法;已經(jīng)斷開網(wǎng)絡(luò)后,此項(xiàng)將變?yōu)椤具B接網(wǎng)絡(luò)】,點(diǎn)擊將恢復(fù)網(wǎng)絡(luò)連接;您也可以通過菜單項(xiàng)【操作】/【斷開網(wǎng)絡(luò)】來執(zhí)行此功能;啟動(dòng)智能升級(jí)程序?qū)Ψ阑饓M(jìn)行升級(jí)更新;您也可以通過菜單項(xiàng)【操作】/【智能升級(jí)】來執(zhí)行此功能;啟動(dòng)日志顯示程序;您也可能通過【操作】/【顯示日志】來執(zhí)行此
功能。
3、標(biāo)簽頁:
位于主界面上部,分【工作狀態(tài)】、【系統(tǒng)狀態(tài)】、【游戲保護(hù)】、【安全資訊】、【漏洞掃描】、【啟動(dòng)選項(xiàng)】六個(gè)標(biāo)簽。如圖3。8示:
圖3。8
4、安全級(jí)別:
位于主界面右下角,拖動(dòng)滑塊到對(duì)應(yīng)的安全級(jí)別,修改立即生效。
5、當(dāng)前版本及更新日期:
位于主界面右上角,顯示防火墻當(dāng)前版本及更新日期。
6、規(guī)則設(shè)置
配置防火墻的過濾規(guī)則(如圖3。9),包括: 黑名單:在黑名單中的計(jì)算機(jī)禁止與本機(jī)通訊
白名單:在白名單中的計(jì)算機(jī)對(duì)本地具有完全的訪問權(quán)限
端口開關(guān):允許或禁止端口中的通訊,可簡單開關(guān)本機(jī)與遠(yuǎn)程的端口 可信區(qū):通過可信區(qū)的設(shè)置,可以把局域網(wǎng)和互聯(lián)網(wǎng)區(qū)分對(duì)待 IP規(guī)則:在IP層過濾的規(guī)則
訪問規(guī)則:本機(jī)中訪問網(wǎng)絡(luò)的程序的過濾規(guī)則
圖3。9 3.4.2 防火墻技術(shù)在校園網(wǎng)中應(yīng)用
一、安裝防火墻
防火墻技術(shù)在校園網(wǎng)安全建設(shè)中得到廣泛的應(yīng)用。由于防火墻是一種按某種規(guī)則對(duì)專網(wǎng)和互聯(lián)網(wǎng),或?qū)ヂ?lián)網(wǎng)的一部分和其余部分之間的信息交換進(jìn)行有條件的控制(包括隔離),從而阻斷不希望發(fā)生的網(wǎng)絡(luò)間通信的系統(tǒng)部署防火墻技術(shù)[10],構(gòu)筑內(nèi)外網(wǎng)之間的安全屏障,可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來,保護(hù)校園網(wǎng)絡(luò)不受未經(jīng)授權(quán)的第三方侵入。
二、校園網(wǎng)防火墻系統(tǒng)的配置
假定校園網(wǎng)通過Cisco路由器與INTERNET相連。校園內(nèi)的IP地址范圍是確
定的,且有明確的閉和邊界,它有一個(gè)C類的IP地址,有DNS、Email、WWW、FTP等服務(wù)器,可采用以下存取控制策略。
1)對(duì)進(jìn)入CERNET主干網(wǎng)的存取控制
2)對(duì)網(wǎng)絡(luò)中心資源主機(jī)的訪問控制,網(wǎng)絡(luò)中心的DNS、Email、FTP、WWW等服務(wù)器是重要的資源,要特別的保護(hù),可對(duì)網(wǎng)絡(luò)中心所在子網(wǎng)禁止,DNS,Email,WWW,FTP以外的一切服務(wù)。
3)對(duì)校外非法網(wǎng)址的訪問,一般情況,一些傳播非法信息的站點(diǎn)主要在校外,而這些站點(diǎn)的域名可能是已知的。為防止IP地址欺騙和盜用需為對(duì)網(wǎng)絡(luò)內(nèi)部人員訪問Internet進(jìn)行一定限制在連接內(nèi)部網(wǎng)絡(luò)的端口接收數(shù)據(jù)時(shí)進(jìn)行IP地址和以太網(wǎng)地址檢查,盜用IP地址的數(shù)據(jù)包將被丟棄,并記錄有關(guān)信息;再連接 Internet 端接收數(shù)據(jù)時(shí),如從外部網(wǎng)絡(luò)收到一段假冒內(nèi)部IP地址發(fā)出的報(bào)文,也應(yīng)丟棄,并記錄有關(guān)信息。防止IP地址被盜用的徹底解決辦法是:代理服務(wù)器防火墻和捆綁IP地址和以太網(wǎng)地址,對(duì)非法訪問的動(dòng)態(tài)禁止一旦獲得某個(gè)IP地址的訪問是非法的,可立即更改路由器中的存取控制表,從而禁止其對(duì)外的非法訪問。首先應(yīng)在路由器和校園網(wǎng)的以太口預(yù)設(shè)控制組102,然后過濾掉來自非法地址的所有IP包。
結(jié)論
計(jì)算機(jī)網(wǎng)絡(luò)的安全問題越來越受到人們的重視,一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的保護(hù)不僅和系統(tǒng)管理員的系統(tǒng)安全知識(shí)有關(guān),而且和每個(gè)使用者的安全操作等都有關(guān)系。網(wǎng)絡(luò)安全是動(dòng)態(tài)的,新的Internet黑客站點(diǎn)、病毒與安全技術(shù)每日劇增,世界上不存在絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng),隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展,網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。
防火墻不能完全解決網(wǎng)絡(luò)安全的全部問題,如不能防范內(nèi)部攻擊等,因此還需要考慮其他技術(shù)的和非技術(shù)的因素,如身份鑒別,信息加密術(shù),提高網(wǎng)絡(luò)管理人員的安全意識(shí)等,總之,防火墻是網(wǎng)絡(luò)安全的第一道重要的安全屏障,如何提高防火墻的防護(hù)能力并保證系統(tǒng)的高速高效運(yùn)行,不斷提高網(wǎng)絡(luò)安全水平,這將是一個(gè)隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而不斷研究的課題。
致謝
本文是在指導(dǎo)老師胡楠老師的悉心教導(dǎo)下完成的。寫論文的這段時(shí)間,老師淵博的學(xué)識(shí),嚴(yán)謹(jǐn)?shù)闹螌W(xué)太多和細(xì)心指導(dǎo),以及他給我的支持和鼓勵(lì)使我終身難忘,我所取得的每一點(diǎn)成就都與導(dǎo)師的熱心關(guān)懷和精心指導(dǎo)是分不開的,值此論文完成之際,特別向?qū)熤乱灾孕牡母兄x各崇高的敬意。
本課題的完成過程中,本人還得到了同學(xué)們及其他各方面的支持和幫助,特別感謝致謝在一起愉快的度過大學(xué)生活的各位室友,正是由于你們的幫助和支持,我才能克服一個(gè)一個(gè)的困難和疑惑,直至本文的順利完成。
在論文即將完成之際,我的心情無法平靜,從開始進(jìn)入課題到論文的順利完成,有多少可敬的師長、同學(xué)、朋友給了我無言的幫助,在這里請(qǐng)接受我誠摯的謝意!我還要感謝培養(yǎng)我長大含辛茹苦的父母,謝謝你們!最后,我要向百忙之中抽時(shí)間對(duì)本文進(jìn)行審閱,評(píng)議和參與本人論文答辯的各位老師表示感謝。
參考文獻(xiàn)
[1]張斌,黑客與反黑客,北京郵電大學(xué)出版社,Pag56-75 [2]石淑華,池瑞楠,計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電出版社,Pag267-283 [3]肖新峰,宋強(qiáng),王立新等,TCP/IP協(xié)議與網(wǎng)絡(luò)管理,北京清華大學(xué)出版社,Pag83-99 [4]李軍,防火墻上臺(tái)階,信息網(wǎng)絡(luò)安全2004年07期,Pag28—29 [5]陳愛民,計(jì)算機(jī)的安全與保密,北京電子工業(yè)出版社,pag35-42 [6]蔣建春,馬恒太,任黨恩等,網(wǎng)絡(luò)安全入侵檢測(cè)研究綜述軟件學(xué)報(bào)
[7]石淑華,池瑞楠,計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)(第二版),北京人民郵電出版社,Pag70-104 [8]老聃,安全網(wǎng)關(guān)—網(wǎng)絡(luò)邊界防護(hù)的利器,信息安全與通信保密,2004年08期75 [9]陳平,何慶等主編,電腦2003合訂本,西南師范大學(xué)出版社,2004年1月 [10] 張穎,劉軍,王磊,計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀及解決方法[N]電腦商情報(bào) ,2007年1月
![下載防火墻技術(shù) 論文題目及提綱[五篇]word格式文檔](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
點(diǎn)擊咨詢 