第一篇:防火墻技術在網絡安全的應用研究
防火墻技術在網絡安全的應用研究
摘要:隨著互聯網信息技術的高速發展,網絡技術已經被廣泛運用到各個領域。但是,目前隨著個人網絡技術水平的提高,有許多非法的組織或者個人,通過破解密碼偷竊學校、企業,甚至是國家的隱私性機密文件或者是資金,嚴重威脅到這些單位的財產和隱私安全。因此,網絡在給社會帶來巨大便捷性的同時,也隱藏著較大的安全隱患。防火墻技術是抵御“黑客”非法入侵和非法訪問的有效手段之一。本文在此基礎上重點探討了如何在網絡安全中合理應用防火墻技術,以達到保護網絡安全的目的。
關鍵詞:網絡安全問題;防火墻技術;應用
引言:網絡技術憑借著自身快捷性和準確性等優勢,已經被廣泛應用到社會各個領域。我國正處在由工業化社會向信息化社會過渡的階段,人們對網絡的依賴性較強,但企業、個人頻繁出現信息資源被盜,機密性文件被竊取,網絡被黑客制造的病毒攻擊導致整個網絡系統癱瘓等惡性事件,這些風險極大影響了企業的正常運行以及個人信息的保障。網絡安全問題還不僅僅出現在企業運營上以及個人生活中,甚至還出現在國家安全部門或者機關部門中。所以,如何在信息化高速發展的今天,實現防火墻技術在網絡安全的有效運用是有關部門需要長期探討和研究的問題。我們要借鑒防火墻技術在網絡安全成功應用的經驗,提出創新性的方案和手段,來克服網絡安全問題給社會帶來的風險。
一、運用防火墻技術強化網絡安全策略
相關單位在運用防火墻技術時,要重視配置以防火墻為中心的安全策略方案,將口令、身份認證、審查、加密等安全信息全部配置到防火墻上,這樣相比將網絡安全問題分散與各個主機或者是其它部位來講,都集中在防火墻上更便于管理,安全性強,投入成本少,經濟效益高。筆者根據自己長期的研究,總結了一套運用防火墻強化網絡安全策略的相關配置方案,其基本步驟如下:第一,在控制面板上實現對防火墻基礎信息的設置,這是實現防火墻強化網絡安全策略的首要前提和根本保證;第二,實現對靜態網絡地址轉換和動態網絡地址轉換為主的網絡地址轉換的設置,動態地址轉化和靜態地址轉換的功能作用各不相同,動態地址轉換主要用于內部網絡的對外訪問用戶的出口,而靜態地址轉換則用來幫
助實現停火區的服務區地址的映射的效果,兩者要緊密相連,缺一不可,否則防火墻也達不到其應有的功效;第三,為了最大程度的實現防火墻的防護功能,需要將應用于整個網絡系統的安全策略應用添加到防火墻的安全策略列表當中,實現各個安全策略之間良性的運作效果。
二、發揮防火墻網絡安全屏障的作用
防火墻是一種位于內部網絡與外部網絡之間的網絡安全系統。實質上是一項信息安全的防護系統,依照特定的規則,允許或是限制傳輸的數據通過,從而保護內部網絡免受非法用戶的侵入,從而實現網絡安全。各個企業或者是單位要積極發揮防火墻網絡安全屏障的作用,提高內部網絡的安全性,通過過濾外來網絡的不安全服務,降低網絡安全風險的系數,防火墻只接收外來信息在系統可以準確識別的情況下的相關應用協議。同時,也極大的保護了網路免遭受基于路由的攻擊和破壞,防火墻在受到不明信息的攻擊和騷擾時,能夠自覺運用并且同時將該情況通知防火墻的管理人員。從以上角度分析,說防火墻是網絡安全的屏障。為了使防火墻更好的發揮在網絡安全的屏障作用,企業等相關部門要采取一定的措施:第一,增強職員防火墻在網絡安全中應用的意識;第二,建立其防火墻配置和管理部門,包括對防火墻管理人員的培訓和管理;第三,加大對防火墻技術的資金投入,不斷升級防火墻技術等。通過以上策略,完善防火墻技術在網絡安全中的硬軟件基礎設施,在防火墻技術的屏障保護下,實現網絡系統的健康穩定安全和可持續運行。
三、運用防火墻技術監控網絡存取和訪問
防火墻能有效地記錄Internet上的任何活動,當其它網絡用戶等訪問經過防火墻時,防火墻就會發揮自身技術監控審計的功能,不僅能詳細記錄這些訪問的時間和來源,而且還可以自動生成日志,可供防火墻管理人員的日后參考和追究。當發生不明來源的信息和訪問攻擊內部網絡時,防火墻能根據風險程度自動報警,并能提供網絡是否受到外部網絡的攻擊和監測的詳細信息,為有關單位指證不法犯罪團伙利用網絡實施違法行為提供了證據。除此之外,時時記錄網絡的使用情況為日后調整防火墻對內部網絡的控制力度也是具有一定的參考價值,分析網絡安全風險存在的系數,從而加緊防范,遏制網絡風險的生根發芽。有關部門要注重運用防火墻技術監控網絡存取和訪問這一功能,首先就要確保防火墻技
術的正常運行,保證24小時不分時間和部門進行監測和存取記錄,做到防患于未然。
四、發揮防火墻對信息數據庫安全維護的補充作用
信息數據庫是各個企業必備的存儲區域,信息,數據庫的建立,不僅為了實現資源的有效整理,還兼顧保證信息,數據的安全。防止內部信息的外泄是防火墻的主要優點之一,我們之所以在某種程度上將防火墻視為一種隔離技術,是因為防火墻技術是一種將內部網和公眾訪問網(如Internet)分開的方法。利用防火墻我們可以實現對內部網重點網段的隔離,限制和拒絕了一些非法信息的侵入,確保了整個網絡系統不受局部敏感的網絡安全問題的影響。我們要加大在防墻技術和數據信息庫這兩者之間實現有效結合的技術研究和開發,使防火墻技術能夠確保單位的信息和安全,維護單位和個人的利益。
結語:
網絡安全問題的頻繁出現,提高了人們對于維護網絡安全的意識。通過防火墻技術在網絡中的運用,網絡安全已經得到了極大的改善。但是,我們不能否認一個防護墻并不能百分之百的保障網絡安全,相關部門需要長期不斷的探索,在摸索中開發出更先進的防火墻技術,提高網絡的安全性。
參考文獻:
[1]馬利,梁紅杰.計算機網絡安全中的防火墻技術應用研究[J].電腦知識與技術,2014,16:3743-3745.[2]張琳.防火墻技術在計算機網絡安全中的應用研究[J].網友世界,2014,15:15.
第二篇:計算機網絡安全中的防火墻技術應用研究
參考文獻:
[1] 張俊偉.計算機網絡安全問題分析[J].包頭職業技術學院學報,2012,(4):25.[2] 王秀翠.防火墻技術在計算機網絡安全中的應用[J].軟件導刊,2011,(5):28-30.[3] 戴銳.探析防火墻技術在計算機網絡安全中的應用[J].信息與電腦,2011,(11):10-12.[4] 肖玉梅.試析當前計算機網絡安全中的防火墻技術[J].數字技術與應用,2013,(5):14-16.[5] 姜可.淺談防火墻技術在計算機網絡信息安全中的應用及研究[J].計算機光盤軟件與應用,2013,(4):33.論文題目:計算機網絡安全中的防火墻技術應用研究
摘要:防火墻技術是計算機網絡安全維護的主要途徑,發揮高效的保護作用。隨著計算機的應用與普及,網絡安全成為社會比較關注的問題。社會針對計算機網絡安全,提出諸多保護措施,其中防火墻技術的應用較為明顯,不僅體現高水平的安全保護,同時營造安全、可靠的運行環境。因此,該文通過對計算機網絡安全進行研究,分析防火墻技術的應用期刊之家網翟編輯修改發表論文QQ:1452344485。
關鍵詞:計算機;網絡安全;防火墻技術
計算機網絡安全主要是保障信息傳輸保密,防止攻擊造成的信息泄露。基于網絡安全的計算機運行,維護數據安全,保障運行問題,體現網絡安全的重要性。計算機網絡安全保護技術多種多樣,該文主要以防火墻技術為例,分析其在計算機網絡安全中的應用。防火墻的保護原理是信息隔離,在信息交互的過程中形成防護屏障,一方面過濾危險信息,另一方面提高計算機網絡安全保護的能力,強化計算機網絡系統的防御能力。防火墻技術在計算機網絡安全中發揮監督、跟蹤的作用,明確各項信息訪問論文問題咨詢騰訊認證QQ800099353。分析計算機網絡安全與防火墻技術
計算機網絡安全與防火墻技術之間存在密不可分的關系,防火墻技術隨著計算機網絡的需求發展,在網絡安全的推動下,防火墻技術體現安全防護的優勢。分析計算機網絡安全與防火墻技術,如下:
1.1 計算機網絡安全
安全是計算機網絡運行的首要原則,隨著現代社會的信息化發展,計算機網絡的運行得到推進,但是其在運行過程中不斷出現安全威脅,影響計算機網絡的安全水平,例舉計算機網絡的安全威脅。
1.1.1 數據威脅
數據是計算機網絡的主體,數據運行的過程中存在諸多漏洞,引發計算機網絡的安全隱患。例如:計算機網絡運行中的節點數據,較容易受到攻擊者篡改,破壞數據完整性,攻擊者利用數據內容的脆弱部分,窺探內網數據,泄漏數據,攻擊者利用計算機網絡系統的安全漏洞,植入木馬、病毒,導致數據系統癱瘓,無法支持計算機網絡的安全運行。
1.1.2 外力破壞
外力破壞是計算機網絡安全運行不可忽略的危險點,最主要的是人為破壞,如:病毒、木馬攻擊等。目前,計算機網絡受到此類影響較大,部分攻擊者利用網站病毒、郵件病毒等方式,攻擊用戶計算機,病毒植入時大多是由于用戶不正確的操作習慣,導致計算機網絡系統出現漏洞。例如:用戶長時間瀏覽外網網站,但是沒有定期查殺病毒,攻擊者很容易摸清用戶的瀏覽習慣,在特性網站中添加攻擊鏈接,當用戶點擊該網站時,病毒立即啟動,直接攻擊用戶的計算機。
1.1.3 環境威脅 計算機網絡處于共享環境內,面臨資源開放的威脅。環境是計算機網絡運行的基礎,用戶在訪問外網時必須經過網絡環境,所以存在明顯的環境威脅,網絡環境內的攻擊非常強烈,攻擊者利用網絡環境設置攻擊環節,主要攻擊網絡環境內交互的數據包,經由數據包將攻擊信息帶入內網,破壞內網的防護結構,針對環境威脅,必須發揮防火墻技術的全面特點。
1.2 防火墻技術
防火墻技術主要有:(1)狀態檢測,以計算機網絡為研究整體,主要分析數據流,區別計算機網絡中的數據信息,識別數據信息中的不安全因素,此類型防火墻技術效益明顯,但是缺乏一定的時效性,容易造成保護延遲;(2)包過濾技術,以網絡層為保護對象,嚴格要求計算機網絡的協議,在保障協議安全的基礎上才可實現防護處理,體現防護價值;(3)應用型防火墻,利用IP轉換的方式,偽裝IP或端口,確保內外網絡連接的安全性,促使用戶在訪問外網時,能夠處于安全、穩定的空間內。防火墻技術在計算機網絡安全中的應用價值
防火墻技術在計算機網絡安全中確實得到廣泛應用,體現防火墻技術的高效價值。針對防火墻技術的應用價值,做如下分析:
2.1 過濾技術的應用價值
過濾技術體現防火墻選擇過濾的應用價值,防火墻根據特定位置,提供過濾服務。例如:過濾技術在計算機網絡系統TCP位置,防火墻預先檢查TCP位置接收到的數據包,全面檢查數據包的安全性,如果發現威脅因素或攻擊行為,立即阻斷數據包的傳輸,過濾在外網環境內,過濾技術的應用,體現明顯的預防特性,科學控制風險信息的傳輸,組織風險信息進入內網,以此確保TCP區域的安全運行。防火墻中的過濾技術,不僅應用于計算機網絡安全控制,其在路由器方面也存在明顯的應用價值。
2.1.1 代理技術的應用價值 防火墻中的代理技術,具有一定的特殊性,其可在計算機網絡運行的各項模塊發揮控制作用,時刻體現強效狀態。代理技術的價值體現為:該技術在內外網之間發揮中轉作用,計算機網絡的內網部分,只接受代理部分發出的請求,而外網請求直接被拒絕,該技術在內網、外網的分割方面,發揮主要作用,杜絕出現內外混淆的現象,所以代理技術在實現應用價值方面,同樣面臨技術壓力。
2.1.2 檢測技術的應用價值
檢測技術以計算機網絡的狀態為主,屬于新技術領域。檢測技術的運行建立在狀態機制的基礎上,將外網傳入的數據包作為整體,準確分析數據包的狀態內容,檢測技術將分析結果匯總為記錄表,分為規則和狀態,比對兩表后識別數據狀態。目前,檢測技術應用于各層網絡之間,獲取網絡連接的狀態信息,拓寬計算機網絡安全保護的范圍,由此提高網絡信息的運行效率。
2.1.3 協議技術的應用價值 協議技術主要是防止Dos攻擊,Dos攻擊容易導致計算機網絡以及服務器陷入癱瘓狀態,促使計算機網絡無法正常提供運行信息,此類攻擊沒有限制要求,基本處于無限制攻擊狀態。防火墻利用協議技術,在此類攻擊中發揮主體保護,在協議技術參與下的防火墻技術,保護計算機的內部網絡,提供各類網關服務,網關是連接服務器與信息的直接途徑,待防火墻回應后,服務器才可運行。防火墻促使服務器處于高度安全的環境中,規避外網攻擊,例如:當外網向內網發送請求信息時,防火墻通過SYN設置訪問上限,降低服務器承擔的攻擊壓力,同時完成數據包檢測。防火墻技術在計算機網絡安全中的應用
綜合分析計算機網絡安全中出現的問題,體現防火墻技術在計算機網絡安全中的應用,規劃防火墻技術安全保護的方式。
第三篇:淺析計算機網絡安全和防火墻技術 論文
JIU JIANG UNIVERSITY
畢 業 論 文
題 目: 淺析計算機網絡安全和防火墻技術
院 系: 信息科學與技術學院 專 業: 網絡系統管理 姓 名:
年 級: 指導老師 :
二零一一年十一月二十日
摘 要
隨著時代的發展,Internet日益普及,網絡已經成為信息資源的海洋,給人們帶來了極大的方便。但由于Internet是一個開放的,無控制機構的網絡,經常會受到計算機病毒、黑客的侵襲。它可使計算機和計算機網絡數據和文件丟失,系統癱瘓。因此,計算機網絡系統安全問題必須放在首位。作為保護局域子網的一種有效手段,防火墻技術備受睞。
本文主要闡述了網絡安全技術所要受到的各方面威脅以及自身存在的一些缺陷,所謂知己知彼,百戰不殆。只有了解了網絡安全存在的內憂外患,才能更好的改善網絡安全技術,發展網絡安全技術。然后主要闡述防火墻在網絡安全中起到的巨大的作用,防火墻的優缺點及各種類型防火墻的使用和效果。
計算機網絡技術的在飛速發展中,尤其是互聯網的應用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網絡的開放性和自由性也產生了私有信息和數據被破壞或侵犯的可能性,網絡信息的安全性變得日益重要,只有熟悉了各種對網絡安全的威脅,熟悉各種保護網路安全的技術,我們才能更好的保護計算機和信息的安全。
關鍵字:計算機網絡;網絡安全;防范措施;防火墻技術
II
Abstract With the development of The Times, the Internet has become increasingly popular and network information resources of the sea, and bring great convenience。But because of the Internet is an open, without control network, computer virus, often by hackers。It can make the computer and the computer network, the system files and data loss。Therefore, the computer network system security problems must be given priority。As the protection of local subnet an effective means, firewall technology。
This article mainly elaborated by network security technology to every aspect of the threat and its existence, some defects, so-called awareness。The existence of the 1930's and network security, can improve network security technology, the development of network security technology。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。
The computer network technology, especially in the rapid development of the Internet is becoming more and more widely applied in brought an unprecedented huge amounts of information, network of openness and freedom in the private information and data were damaged or infringed, the possibility of network information security is becoming increasingly important, only familiar to all kinds of network security threats, familiar with various protection network security technology, we can better protect the computer and information security。
Key words: Computer network, Network security, The prevention measures, Firewall technology
III
目錄
摘 要..................................................................II Abstract..............................................................III 引言....................................................................5 第一章 網絡安全概述.....................................................6 1.1計算機網絡安全的含義...........................................................6 1.2網絡信息安全的主要威脅.........................................................6 1.2.1自然威脅...................................................................6 1.2.2人為威脅—黑客攻擊與計算機病毒.............................................6 1.3計算機網絡中的安全缺陷及產生原因...............................................8 1.5影響計算機網絡安全的因素.......................................................8 第二章 計算機網絡安全防范策略..........................................10 2.1防火墻技術....................................................................10 2.2 數據加密與用戶授權訪問控制技術..............................................12 2.3 入侵檢測技術.................................................................13 2.4防病毒技術....................................................................13 2.4.1 對付病毒有以下四種基本方法.................................................14 2.5安全管理隊伍的建設............................................................17 第三章防火墻技術........................................................18 3.1防火墻的定義..................................................................18 3.2防火墻的功能..................................................................18 3.2.1防火墻是網絡安全的屏障......................................................18 3.2.2防火墻的種類................................................................18 3.3 防火墻的技術原理............................................................18 3.4 防火墻的應用.................................................................19 3.4.1個人防火墻的應用............................................................19 3.4.2防火墻技術在校園網中應用....................................................23 結論...................................................................25 致謝...................................................................26 參考文獻...............................................................27 IV
引言
近年來,隨著計算機網絡技術的飛速發展,尤其是互聯網的應用變得越來越廣泛,在帶來了前所未有的海量信息的同時,計算機網絡的安全性變得日益重要起來,由于計算機網絡聯接形式的多樣性、終端分布的不均勻性、網絡的開放性和網絡資源的共享性等因素,致使計算機網絡容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊【1】。
為確保信息的安全與網絡暢通,研究計算機網絡的安全與防護措施已迫在眉捷,但網絡安全問題至今仍沒有能夠引起足夠的重視,更多的用戶認為網絡安全問題離自己尚遠,這一點從大約有40%以上的用戶特別是企業級用戶沒有安裝防火墻(Firewall)便可以窺見一斑,而所有的問題都在向大家證明一個事實,大多數的黑客入侵事件都是由于未能正確安裝防火墻而引發,所以防火墻技術應當引起我們的注意和重視。
本文主要研究網絡安全的缺陷原由及網絡安全技術的原理和其他技術,如防火墻技術對網絡安全起到的不可忽視的影響。
第一章 網絡安全概述
1.1計算機網絡安全的含義
計算機網絡安全的具體含義會隨著使用者的變化而變化,使用者不同,對網絡安全的認識和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護,避免被竊聽、篡改和偽造;而網絡提供商除了關心這些網絡信息安全外,還要考慮如何應付突發的自然災害、軍事打擊等對網絡硬件的破壞,以及在網絡出現異常時如何恢復網絡通信,保持網絡通信的連續性。
從本質上來講,網絡安全包括組成網絡系統的硬件、軟件及其在網絡上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網絡安全既有技術方面的問題,也有管理方面的問題,兩方面相互補充,缺一不可。人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰。
1.2網絡信息安全的主要威脅
網絡安全所面臨的威脅來自很多方面,并且隨著時問的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。
1.2.1自然威脅
自然威脅可能來自于各種自然災害、惡劣的場地環境、電磁輻射和電磁干擾、網絡設備的自然老化等。這些無目的的事件,有時會直接威脅網絡的安全,影響信息的存儲媒體。威脅分別有:
1.自然災害(如雷電、地震、火災、水災等),物理損壞(如硬盤損壞、設備使用壽命到期、外力破損等),設備故障(如停電斷電、電磁干擾等),意外事故。
2.電磁泄漏(如偵聽微機操作過程)。
3.操作失誤(如刪除文件,格式化硬盤,線路拆除等),意外疏漏(如系統掉電、死機等系統崩潰)
4.計算機系統機房環境的安全。
1.2.2人為威脅—黑客攻擊與計算機病毒
人為威脅就是說對網絡的人為攻擊。這些攻擊手段都是通過尋找系統的弱點【2】,以便達到破壞、欺騙、竊取數據等目的,造成經濟上和政治上不可估量的損失。網絡安全的人為威脅主要分為以下幾種: ? 網絡缺陷
Intemet由于它的開放性迅速在全球范圍內普及,但也正是因為開放性使其保護信息安全存在先天不足。Internet最初的設計考慮主要是考慮資源共享,基本沒有考慮安全問題,缺乏相應的安全監督機制。
? 黑客攻擊
自1998年后,網上的黑客越來越多,也越來越猖獗;與此同時黑客技術逐漸被越來越多的人掌握現在還缺乏針對網絡犯罪卓有成效的反擊和跟蹤手段,使得黑客攻擊的隱蔽性好,“殺傷力”強,這是網絡安全的主要威脅之一。? 各種病毒
病毒時時刻刻威脅著整個互聯網。像Nimda和CodeRed的爆發更是具有深遠的影響,促使人們不得不在網絡的各個環節考慮對于各種病毒的檢測防治,對病毒徹底防御的重要性毋庸置疑。? 管理的欠缺及資源濫用
很多上了互聯網的企業缺乏對于網絡安全的認識,管理上存在很多漏洞,特別是國內的企業,只是提供了接入Internet的通道,對于網絡上黑客的攻擊缺乏基本的應對措施,同時企業內部普遍存在資源濫用現象,這是造成網絡安全問題的根本原因。軟件的漏洞和后門:隨著CPU的頻率越來越高,軟件的規模越來越大,軟件系統中的漏洞也不可避免的存在,強大如微軟所開發的Windows也存在。各種各樣的安全漏洞和“后門”,這是網絡安全的主要威脅之一。? 網絡內部用戶的誤操作和惡意行為
對于來自網絡內部的攻擊,主流的網絡安全產品防火墻基本無能為力,這類攻擊及其誤操作行為需要網絡信息審計、IDS等主要針對內部網絡安全的安全產品來抵御。
? 網絡資源濫用
網絡有了安全保證和帶寬管理,依然不能防止員工對網絡資源的濫用。等行為極大地降低了員工的工作效率。管理層希望員工更加有效地使用互聯網,盡量避免網絡對工作帶來負面影響。? 信息泄漏
惡意、過失的不合理信息上傳和發布,可能會造成敏感信息泄漏、有害信息擴散,危及社會、國家、體和個人利益。更有基于競爭需要,利用技術手段對目標機信息資源進行竊取。在眾多人為威脅中來自用戶和惡意軟件即計算機病毒的非法侵入嚴重,計算機病毒是利用程序干擾破壞系統正常工作的一種手段,它的產生和蔓延給信息系統的可靠性和安全性帶來嚴重的威脅和巨大的損失。? 操作系統存在的安全問題
操作系統是作為一個支撐軟件,使得你的程序或別的應用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能,主要是管理系統的軟件資源和硬件資源。操作系統軟件自身的不安全性,系統開發設計的不周而留下的破綻,都給網絡安全留下隱患。
? 數據庫存儲的內容存在的安全問題
數據庫管理系統大量的信息存儲在各種各樣的數據庫里面,包括我們上網看到的所有信息,數據庫主要考慮的是信息方便存儲、利用和管理,但在安全方面考慮的比較少。例如:授權用戶超出了訪問權限進行數據的更改活動;非法用戶繞過安全內核,竊取信息。對于數據庫的安全而言,就是要保證數據的安全可靠和正確有效,即確保數據的安全性、完整性。數據的安全性是防止數據庫被破壞和非法的存取;數據庫的完整性是防止數據庫中存在不符合語義的數據。
1.3計算機網絡中的安全缺陷及產生原因
①網絡安全天生脆弱
計算機網絡安全系統的脆弱性是伴隨計算機網絡一同產生的,換句話說,安全系統脆弱是計算機網絡與生俱來的致命弱點。在網絡建設中,網絡特性決定了不可能無條件、無限制的提高其安全性能。要使網絡更方便快捷,又要保證網絡安全,這是一個非常棘手的“兩難選擇”,而網絡安全只能在“兩難選擇”所允許的范圍中尋找支撐點。可以說世界上任何一個計算機網絡都不是絕對安全的
②黑客攻擊后果嚴重
近幾年,黑客猖狂肆虐,四面出擊,使交通通訊網絡中斷,軍事指揮系統失靈,電力供水系統癱瘓,銀行金融系統混亂??危及國家的政治、軍事、經濟的安全與穩定,在世界各國造成了難以估量的損失。
③網絡殺手集團化
目前,網絡殺手除了一般的黑客外,還有一批具有高精尖技術的“專業殺手”,更令人擔憂的是出現了具有集團性質的“網絡恐怖分子”甚至政府出面組織的“網絡戰”、“黑客戰”,其規模化、專業性和破壞程度都使其他黑客望塵莫及。可以說,由政府組織的“網絡戰”、“黑客戰”是當前網絡安全的最大隱患。目前,美國正開展用無線電方式、衛星輻射式注入方式、網絡方式把病毒植入敵方計算機主機或各類傳感器、網橋中的研究以伺機破壞敵方的武器系統、指揮控制系統、通信系統等高敏感的網絡系統。另外,為達到預定目的,對出售給潛在敵手的計算機芯片進行暗中修改,在CPU中設置“芯片陷阱”,可使美國通過因特網發布指令讓敵方電腦停止工作,以起到“定時炸彈”的作用。
1.5影響計算機網絡安全的因素
①網絡資源的共享性
資源共享是計算機網絡應用的主要目的,但這為系統安全的攻擊者利用共享的資源進行破壞提供了機會。隨著互聯網需求的日益增長,外部服務請求不可能做到完全隔離,攻擊者利用服務請求的機會很容易獲取網絡數據包。
②網絡的開放性
網上的任何一個用戶很方便訪問互聯網上的信息資源,從而很容易獲取到一個企業、單位以及個人的敏感性信息。
③網絡操作系統的漏洞
網絡操作系統是網絡協議和網絡服務得以實現的最終載體之一,它不僅
負責網絡硬件設備的接口封裝,同時還提供網絡通信所需要的各種協議和服務的程序實現。由于網絡協議實現的復雜性,決定了操作系統必然存在各種實現過程所帶來的缺陷和漏洞。
④網絡系統設計的缺陷
網絡設計是指拓撲結構的設計和各種網絡設備的選擇等。網絡設備、網絡協議、網絡操作系統等都會直接帶來安全隱患。合理的網絡設計在節約資源的情況下,還可以提供較好的安全性。不合理的網絡設計則會成為網絡的安全威脅。
⑤惡意攻擊
就是人們常見的黑客攻擊及網絡病毒,這是最難防范的網絡安全威脅。隨著電腦教育的大眾化,這類攻擊也是越來越多,影響越來越大。
第二章 計算機網絡安全防范策略
計算機網絡安全從技術上來說,主要由防病毒、防火墻、入侵檢測等多個安全組件組成,任何一個單獨的組件都無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術、數據加密技術、入侵檢測技術、防病毒技術等,以下就此幾項技術分別進行分析。2.1防火墻技術
防火墻
防火墻是汽車中一個部件的名稱。在汽車中,利用防火墻把乘客和引擎隔開,以便汽車引擎一旦著火,防火墻不但能保護乘客安全,而同時還能讓司機繼續控制引擎。在電腦術語中,當然就不是這個意思了,我們可 以類比來理解,在網絡中,所謂“防火墻”,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說,如果不通過防火墻,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
防火墻(FireWall)成為近年來新興的保護計算機網絡安全技術性措施。它是一種隔離控制技術,在某個機構的網絡和不安全的網絡(如Internet)之間設置屏障,阻止對信息資源的非法訪問,也可以使用防火墻阻止重要信息從企業的網絡上被非法輸出。作為Internet網的安全性保護軟件,FireWall已經得到廣泛的應用。通常企業為了維護內部的信息系統安全,在企業網和Internet間設立FireWall軟件。企業信息系統對于來自Internet的訪問,采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問,也可以接收或拒絕TCP/IP上的某一類具體的應用。如果在某一臺IP主機上有需要禁止的信息或危險的用戶,則可以通過設置使用FireWall過濾掉從該主機發出的包。如果一個企業只是使用Internet的電子郵件和WWW服務器向外部提供信息,那么就可以在FireWall上設置使得只有這兩類應用的數據包可以通過。這對于路由器來說,就要不僅分析IP層的信息,而且還要進一步了解TCP傳輸層甚至應用層的信息以進行取舍。FireWall一般安裝在路由器 上以保護一個子網,也可以安裝在一臺主機上,保護這臺主機不受侵犯。
為了讓大家更好地使用防火墻,我們從反面列舉4個有代表性的失敗案例。例1:未制定完整的企業安全策略
網絡環境:某中型企業購買了適合自己網絡特點的防火墻,剛投入使用后,發現以前局域網中肆虐橫行的蠕蟲病毒不見了,企業網站遭受拒絕服務攻擊的次數也大大減少了,為此,公司領導特意表揚了負責防火墻安裝實施的信息部。
該企業網絡環境如圖2.1所示:
圖2.1 該企業內部網絡的核心交換機是帶路由模塊的三層交換機,出口通過路由器和ISP連接。內部網劃分為5個VLAN,VLAN
1、VLAN 2和VLAN 3分配給不同的部門使用,不同的VLAN之間根據部門級別設置訪問權限;VLAN 4分配給交換機出口地址和路由器使用;VLAN 5分配給公共服務器使用。在沒有加入防火墻之前,各個VLAN中的PC機能夠通過交換機和路由器不受限制地訪問Internet。加入防火墻后,給防火墻分配一個VLAN 4中的空閑IP地址,并把網關指向路由器;將VLAN 5接入到防火墻的一個網口上。這樣,防火墻就把整個網絡分為3個區域: 內部網、公共服務器區和外部網,三者之間的通信受到防火墻安全規則的限制。
問題描述:防火墻投入運行后,實施了一套較為嚴格的安全規則,導致公司員工無法使用QQ聊天軟件,于是沒過多久就有員工自己撥號上網,導致感染了特洛依木馬和蠕蟲等病毒,并立刻在公司內部局域網中傳播開來,造成內部網大面積癱瘓。
問題分析:我們知道,防火墻作為一種保護網絡安全的設備,必須部署在受保護網絡的邊界處,只有這樣防火墻才能控制所有出入網絡的數據通信,達到將入侵者拒之門外的目的。如果被保護網絡的邊界不惟一,有很多出入口,那么只部署一臺防火墻是不夠的。在本案例中,防火墻投入使用后,沒有禁止私自撥號上網行為,使得許多PC機通過電話線和Internet相連,導致網絡邊界不惟一,入侵者可以通過攻擊這些PC機然后進一步攻擊內部網絡,從而成功地避開了防火墻。
解決辦法:根據自己企業網的特點,制定一整套安全策略,并徹底地貫徹實施。比如說,制定一套安全管理規章制度,嚴禁員工私自撥號上網;同時封掉撥號上網的電話號碼,并購買檢測撥號上網的軟件,這樣從管理和技術上杜絕出現網絡邊界不惟一的情況發生。另外,考慮到企業員工的需求,可以在防火墻上添加按照時間段生效的安全規則,在非工作時間打開QQ使用的TCP/UDP端口,使得企業員工可以在工余時間使用QQ聊天軟件。
例2:未考慮與其他安全產品的配合使用
問題描述:某公司購買了防火墻后,緊接著又購買了漏洞掃描和IDS(入侵檢測系統)產品。當系統管理員利用IDS發現入侵行為后,必須每次都要手工調
整防火墻安全策略,使管理員工作量劇增,而且經常調整安全策略,也給整個網絡帶來不良影響。
問題分析:選購防火墻時未充分考慮到與其他安全產品如IDS的聯動功能,導致不能最大程度地發揮安全系統的作用。
解決辦法:購買防火墻前應查看企業網是否安裝了漏洞掃描或IDS等其他安全產品,以及具體產品名稱和型號,然后確定所要購買的防火墻是否有聯動功能(即是否支持其他安全產品,尤其是IDS產品),支持的是哪些品牌和型號的產品,是否與已有的安全產品名稱相符,如果不符,最好不要選用,而選擇能同已有安全產品聯動的防火墻。這樣,當IDS發現入侵行為后,在通知管理員的同時發送消息給防火墻,由防火墻自動添加相關規則,把入侵者拒之門外。
例3:未經常維護升級防火墻 問題描述:某政府機構購置防火墻后已安全運行一年多,由于該機構網絡結構一直很穩定,沒有什么變化,各種應用也運行穩定,因此管理員逐漸放松了對防火墻的管理,只要網絡一直保持暢通即可,不再關心防火墻的規則是否需要調整,軟件是否需要升級。而且由于該機構處于政府專網內,與Internet物理隔離,防火墻無法實現在線升級。因此該機構的防火墻軟件版本一直還是購買時的舊版本,雖然管理員一直都收到防火墻廠家通過電子郵件發來的軟件升級包,但從未手工升級過。在一次全球范圍的蠕蟲病毒迅速蔓延事件中,政府專網也受到蠕蟲病毒的感染,該機構防火墻因為沒有及時升級,無法抵御這種蠕蟲病毒的攻擊,造成整個機構的內部網大面積受感染,網絡陷于癱瘓之中。
問題分析:安全與入侵永遠是一對矛盾。防火墻軟件作為一種安全工具,必須不斷地升級與更新才能應付不斷發展的入侵手段,過時的防護盾牌是無法抵擋最先進的長矛的。作為安全管理員來說,應當時刻留心廠家發布的升級包,及時給防火墻打上最新的補丁。
解決辦法:及時維護防火墻,當本機構發生人員變動、網絡調整和應用變化時,要及時調整防火墻的安全規則,及時升級防火墻。
從以上三個案例我們可以得出一些結論:防火墻只是保證安全的一種技術手段,要想真正實現安全,安全策略是核心問題。保護網絡安全不僅僅是防火墻一種產品,只有將多種安全產品無縫地結合起來,充分利用它們各自的優點,才能最大限度地保證網絡安全。而保護網絡安全是動態的過程,防火墻需要積極地維護和升級。
2.2 數據加密與用戶授權訪問控制技術
與防火墻相比,數據加密與用戶授權訪問控制技術比較靈活,更加適用于開放的網絡。用戶授權訪問控制主要用于對靜態信息的保護,需要系統級別的支持,一般在操作系統中實現。數據加密主要用于對動態信息的保護。對動態數據的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密。數據加密實質上是對以符號為基礎的數據進行移位和置換的變換算法,這種變換是對稱密鑰算法”。這樣的密鑰必須秘密保管,只能為授權用戶所知,授權用戶既可以用該密鑰加密信急,也可以用該密鑰解密信息,DES是對稱加密算法中最具代表性的算法。在公鑰加密算法中,公鑰是公開的,任何人可以用公鑰加密信息,再將密文發送給私鑰擁有者。私鑰是保密的,用于解密其接收的公鑰加密過的信息【5】。典型的公鑰加密算法~nRSA是目前使用比較廣泛的加密算法
2.3 入侵檢測技術
入侵檢測系統(IntrusionDetectionSystem,IDS)是從多種計算機系統及網絡系統中收集信息,再通過此信息分析入侵特征的網絡安全系統。IDS被認為是防火墻之后的第二道安全閘門,它能使在入侵攻擊對系統發生危害前,檢測到入侵攻擊,并利用報警與防護系統驅逐入侵攻擊:在入侵攻擊過程中,能減少入侵攻擊所造成的損失;在被入侵攻擊后,收集入侵攻擊的相關信息,作為防范系統的知識,添加入策略集中,增強系統的防范能力,避免系統再次受到同類型的入侵【6】。
入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。入侵檢測技術的功能主要體現在以下方面: 1)分析用戶及系統活動,查找非法用戶和合法用戶的越權操作; 2)檢測系統配置的正確性和安全漏洞,并提示管理員修補漏洞; 3)識別反映已知進攻的活動模式并向相關人上報警; 4)對異常行為模式的統計分析;
5)能夠實時地對檢測到的入侵行為進行反應; 6)評估重要系統和數據文件的完整性; 7)可以發現新的攻擊模式; 入侵檢測方法
方法有很多,如基于專家系統入侵檢測方法、基于神經網絡的入侵檢測方法等。目前一些入侵檢測系統在應用層入侵檢測中已有實現
1.監視、分析用戶及系統活動;
2.系統構造和弱點的審計;
3.識別反映已知進攻的活動模式并向相關人士報警;
4.異常行為模式的統計分析;
5.評估重要系統和數據文件的完整性;
6.操作系統的審計跟蹤管理,并識別用戶違反安全策略的行為。
入侵檢測技術同樣存在問題
1.現有的入侵檢測系統檢測速度遠小于網絡傳輸速度, 導致誤報率和漏報率
2.入侵檢測產品和其它網絡安全產品結合問題, 即期間的信息交換,共同協作發現攻擊并阻擊攻擊
3.基于網絡的入侵檢測系統對加密的數據流及交換網絡下的數據流不能進行檢測, 并且其本身構建易受攻擊
4.入侵檢測系統體系結構問題
2.4 防病毒技術
計算機病毒的預防技術就是通過一定的技術手段防止計算機病毒對系統的傳染和
破壞。實際上這是一種動態判定技術,即一種行為規則判定技術。也就是說,計算機病毒的預防是采用對病毒的規則進行分類處理,而后在程序運作中凡有類似的規則出現則認定是計算機病毒。具體來說,計算機病毒的預防是通過阻止計算機病毒進入系統內存或阻止計算機病毒對磁盤的操作,尤其是寫操作。
預防病毒技術包括:磁盤引導區保護、加密可執行程序、讀寫控制技術、系統監控技術等。例如,大家所熟悉的防病毒卡,其主要功能是對磁盤提供寫保護,監視在計算機和驅動器之間產生的信號。以及可能造成危害的寫命令,并且判斷磁盤當前所處的狀態:哪一個磁盤將要進行寫操作,是否正在進行寫操作,磁盤是否處于寫保護等,來確定病毒是否將要發作。計算機病毒的預防應用包括對已知病毒的預防和對未知病毒的預防兩個部分。目前,對已知病毒的預防可以采用特征判定技術或靜態判定技術,而對未知病毒的預防則是一種行為規則的判定技術,即動態判定技術。
一、計算機病毒的預防技術
計算機病毒的預防技術就是通過一定的技術手段防止計算機病毒對系統的傳染和破壞。實際上這是一種動態判定技術,即一種行為規則判定技術。也就是說,計算機病毒的預防是采用對病毒的規則進行分類處理,而后在程序運作中凡有類似的規則出現則認定是計算機病毒。具體來說,計算機病毒的預防是通過阻止計算機病毒進入系統內存或阻止計算機病毒對磁盤的操作,尤其是寫操作。
預防病毒技術包括:磁盤引導區保護、加密可執行程序、讀寫控制技術、系統監控技術等。例如,大家所熟悉的防病毒卡,其主要功能是對磁盤提供寫保護,監視在計算機和驅動器之間產生的信號。以及可能造成危害的寫命令,并且判斷磁盤當前所處的狀態:哪一個磁盤將要進行寫操作,是否正在進行寫操作,磁盤是否處于寫保護等,來確定病毒是否將要發作。計算機病毒的預防應用包括對已知病毒的預防和對未知病毒的預防兩個部分。目前,對已知病毒的預防可以采用特征判定技術或靜態判定技術,而對未知病毒的預防則是一種行為規則的判定技術,即動態判定技術。
二、檢測病毒技術
計算機病毒的檢測技術是指通過一定的技術手段判定出特定計算機病毒的一種技術。它有兩種:一種是根據計算機病毒的關鍵字、特征程序段內容、病毒特征及傳染方式、文件長度的變化,在特征分類的基礎上建立的病毒檢測技術。另一種是不針對具體病毒程序的自身校驗技術。即對某個文件或數據段進行檢驗和計算并保存其結果,以后定期或不定期地以保存的結果對該文件或數據段進行檢驗,若出現差異,即表示該文件或數據段完整性已遭到破壞,感染上了病毒,從而檢測到病毒的存在。
三、清除病毒技術
計算機病毒的清除技術是計算機病毒檢測技術發展的必然結果,是計算機病毒傳染程序的一種逆過程。目前,清除病毒大都是在某種病毒出現后,通過對其進行分析研究而研制出來的具有相應解毒功能的軟件。這類軟件技術發展往往是被動的,帶有滯后性。而且由于計算機軟件所要求的精確性,解毒軟件有其局限性,對有些變種病毒的清除無能為力。目前市場上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV,及我國的LANClear和Kill89等產品均采用上述三種防病毒技術
2.4.1 對付病毒有以下四種基本方法
1、基于網絡目錄和文件安全性方法
以NetWare為例,在NetWare中,提供了目錄和文件訪問權限與屬性兩種安全性措施。“訪問權限有:防問控制權、建立權、刪除權、文件掃描權、修改權、讀權、寫權和管理權。屬性有:需歸檔、拷貝禁止、刪除禁止、僅執行、隱含、索引、清洗、讀審記、寫審記、只讀、讀寫、改名禁止、可共享、系統和交易。屬性優先于訪問權限。根據用戶對目錄和文件的操作能力,分配不同的訪問權限和屬性。例如,對于公用目錄中的系統文件和工具軟件,應該只設置只讀屬性,系統程序所在的目錄不要授予修改權和管理權。這樣,病毒就無法對系統程序實施感染和寄生,其它用戶也就不會感染病毒。
由此可見,網絡上公用目錄或共享目錄的安全性措施,對于防止病毒在網上傳播起到積極作用。至于網絡用戶的私人目錄,由于其限于個別使用,病毒很難傳播給其它用戶。采用基于網絡目錄和文件安全性的方法對防止病毒起到了一定作用,但是這種方法畢竟是基于網絡操作系統的安全性的設計,存在著局限性。現在市場上還沒有一種能夠完全抵御計算機病毒侵染的網絡操作系統,從網絡安全性措施角度來看,在網絡上也是無法防止帶毒文件的入侵。
2、采用工作站防病毒芯片
這種方法是將防病毒功能集成在一個芯片上,安裝在網絡工作站上,以便經常性地保護工作站及其通往服務器的路徑。工作站是網絡的門戶,只要將這扇門戶關好,就能有效地防止病毒的入侵。將工作站存取控制與病毒保護能力合二為一插在網卡的EPROM槽內,用戶也可以免除許多繁瑣的管理工作。
Trend Micro Devices公司解決的辦法是基于網絡上每個工作站都要求安裝網絡接口卡網絡接口卡上有一個Boot Rom芯片,因為多數網卡的Boot Rom并沒有充分利用,都會剩余一些使用空間,所以如果安全程序夠小的話,就可以把它安裝在網絡的Boot Rom的剩余空間內,而不必另插一塊芯片。
市場上Chipway防病毒芯片就是采用了這種網絡防病毒技術。在工作站DOS引導過程中,ROMBIOS,Extended BIOS裝入后,Partition Table裝入之前,Chipway獲得控制權,這樣可以防止引導型病毒。Chipway的特點是:①不占主板插槽,避免了沖突;②遵循網絡上國際標準,兼容性好;③具有他工作站防毒產品的優點。但目前,Chipway對防止網絡上廣為傳播的文件型病毒能力還十分有限。
3、采用Station Lock網絡防毒方法
Station Lock是著名防病毒產品開發商Trend Micro Devices公司的新一代網絡防病毒產品。其防毒概念是建立在”病毒必須執行有限數量的程序之后,才會產生感染效力“的基礎之上。例如,病毒是一個不具自我辨別能力的小程序,在病毒傳染過程中至少必須攔截一個DOS中斷請求,而且必須試圖改變程序指針,以便讓系統優先執行病毒程序從而獲得系統控制權。引導型病毒必須使用系統的BIOS功能調用,文件型病毒必須將自己所有的程序代碼拷貝到另一個系統執行文件時才能復制感染。混合型病毒和多形體病毒在實施感染之前也必須獲取系統控制權,才能運行病毒體程序而實施感染。Station Lock就是通過這些特點,用間接方法觀察,精確地預測病毒的攻擊行為。其作用對象包括多型體病毒和未來型病毒。
Station Lock也能處理一些基本的網絡安全性問題,例如存取控制、預放未授權拷貝以及在一個點對點網絡環境下限制工作站資源相互存取等。Station Lock能根據病毒活動辯別可能的病毒攻擊意圖,并在它造成任
何破壞之前予以攔截。由于Station Lock是在啟動系統開始之前,就接管了工作站上的硬件和軟件,所以病毒攻擊Station Lock是很困難的。Station Lock是目前網絡環境下防治病毒比較有效的方法。
4、基于服務器的防毒技術
服務器是網絡的核心,一旦服務器被病毒感染,就會使服務器無法啟動,整個網絡陷于癱瘓,造成災難性后果。目前基于服務器的防治病毒方法大都采用了NLM(NetWare Load Module)技術以NLM模塊方式進行程序設計,以服務器為基礎,提供實時掃描病毒能力。市場上的產品如Central Point公司的AntiVirus for Networks,Intel公司的LANdesk Virus Protect以及南京威爾德電腦公司的Lanclear for NetWare等都是采用了以服務器為基礎的防病毒技術。這些產品的目的都是保護服務器,使服務器不被感染。這樣,病毒也就失去了傳播途徑,因而從根本上杜絕了病毒在網上蔓延。
(1)對服務器中所有文件掃描
這一方法是對服務器的所有文件進行集中檢查看其是否帶毒,若有帶毒文件,則提供給網絡管理員幾種處理方法。允許用戶清除病毒,或刪除帶毒文件,或更改帶毒文件名成為不可執行文件名并隔離到一個特定的病毒文件目錄中。
(2)實時在線掃描
網絡防病毒技術必須保持全天24小時監控網絡是否有帶毒文件進入服務器。為了保證病毒監測實時性,通常采用多線索的設計方法,讓檢測程序作為一個隨時可以激活的功能模塊,且在NetWare運行環境中,不影響其它線索的運行。這往往是設計一個NLM最重要的部分,即多線索的調度。實時在線掃描能非常及時地追蹤病毒的活動,及時告之網絡管理員和工作站用戶。
(3)掃描選擇
該功能允許網絡管理員定期檢查服務器中是否帶毒,例如可按每月、每星期、每天集中掃描一下網絡服務器,這樣就使網絡用戶擁有極大的操作選擇余地。
(4)自動報告功能及病毒存檔
當網絡用戶將帶毒文件有意或無意地拷入服務器中時,網絡防病毒系統必須立即通知網絡管理員,或涉嫌病毒的使用者,同時自己記入病毒檔案。病毒檔案一般包括:病毒類型、病毒名稱、帶毒文件所存的目錄及工作站標識等,另外,記錄對病毒文件處理方法。
(5)工作站掃描
基于服務器的防病毒軟件不能保護本地工作站的硬盤,有效的方法是在服務器上安裝防毒軟件,同時在上網的工作站內存中調入一個常駐掃毒程序,實時檢測在工作站中運行的程序。如LANdesk Virus Protect采用Lpscan,而LANClear for NetWare采用world程序等。
(6)對用戶開放的病毒特征接口
大家知道病毒及其變種層出不窮。據有關資料報道,截止1994年2月25日,全世界流傳的MSDOS病毒達2700多種。如何使防病毒系統能對付不斷出現的新病毒?這要求開發商能夠使自己的產品具有自動升級功能,也就是真正交給網絡
用戶防治病毒的一把金鑰匙。其典型的做法是開放病毒特征數據庫。用戶隨時將遇到的帶毒文件,經過病毒特征分析程序,自動將病毒特征加入特征庫,以隨時增強抗毒能力。當然這一工作難度極大,需要不懈的努力。在上述四種網絡防毒技術中,Station Lock是一種針對病毒行為的防治方法,StationLock目前已能提供Intel以太網絡接口卡支持,而且未來還將支持各種普及型的以太令牌環(Token-Ring)網絡接口卡。基于服務器的防治病毒方法,表現在可以集中式掃毒,能實現實時掃描功能,軟件升級方便。特別是當連網的機器很多時,利用這種方法比為每臺工作站都安裝防病毒產品要節省成本。其代表性的產品有LANdesk、LANClear for NetWare等。
2.5 安全管理隊伍的建設
在計算機網絡系統中,絕對的安全是不存在的,制定健全的安全管理體制是計算機網絡安全的重要保證,只有通過網絡管理人員與使用人員的共同努力,運用一切可以使用的工具和技術,盡一切可能去控制、減小一切非法的行為,盡可能地把不安全的因素降到最低。同時,要不斷地加強計算機信息網絡的安全規范化管理力度,大力加強安全技術建設,強化使用人員和管理人員的安全防范意識。網絡內使用的IP地址作為一種資源以前一直為某些管理人員所忽略,為了更好地進行安全管理工作,應該對本網內的IP地址資源統一管理、統一分配。對于盜用IP資源的用戶必須依據管理制度嚴肅處理。只有共同努力,才能使計算機網絡的安全可靠得到保障,從而使廣大網絡用戶的利益得到保障。
第三章 防火墻技術
3.1 防火墻的定義
防火墻是指設置在不同網絡或網絡安全域之間信息的唯一出入口,能根據網絡的安全政策控制(允許拒絕監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
Internet防火墻是一個或一組系統,它能增強機構內部網絡的安全性,用于加強網絡間的訪問控制,防止外部用戶非法使用內部網的資源,保護內部網絡的設備不被破壞,防止內部網絡的敏感數據被竊取,防火墻系統還決定了哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的服務,以及哪些外部服務何時可以被內部人員訪問。要使一個防火墻有效,所有來自和去往Internet的信息都必須經過防火墻并接受檢查。防火墻必須只允許授權的數據通過,并且防火墻本身也必須能夠免于滲透。但是,防火墻系統一旦被攻擊突破或迂回繞過,就不能提供任何保護了。3.2防火墻的功能
3.2.1 防火墻是網絡安全的屏障
防火墻(作為阻塞點,控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。
防火墻可以強化網絡安全策略,通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令加密身份認證審計等)配置在防火墻上,對網絡存取和訪問進行監控審計:所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網絡使用情況的統計數據,當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。防止內部信息的外泄,通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。3.2.2防火墻的種類
防火墻技術可根據防范的方式和側重點的不同,總體來講可分為二大類:分組過濾,應用代理。
分組過濾(Packetfiltering);作用在網絡層和傳輸層,它根據分組包頭源地址,目的地址和端口號,協議類型等標志確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發到相應的目的地出口端,其余數據包則被從數據流中丟棄。
應用代理(ApplicationProxy):也叫應用網關(ApplicationGateway), 它作用在應用層,其特點是完全 “ 阻隔 ” 了網絡通信流通過對每種應用服務編制專門的代理程序,實現監視和控制應用層通信流的作用,實際中的應用網關通常由專用工作站實現【8】。
3.3 防火墻的技術原理
目前,防火墻系統的工作原理因實現技術不同,大致可分為三種:(1)包過濾技術
包過濾技術是一種基于網絡層的防火墻技術。根據設 置好的過濾規則,通
過檢查IP數據包來確定是否該數據包通過。而那些不符合規定的IP地址會被防火墻過濾掉,由此保證網絡系統的安全。該技術通常可以過濾基于某些或所有下列信息組的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過濾技術實際上是一種基于路由器的技術,其最大優點就是價格便宜,實現邏輯簡單便于安裝和使用。
缺點:1)過濾規則難以配置和測試。2)包過濾只訪問網絡層和傳輸層的信息,訪問信息有限,對網絡更高協議層的信息無理解能力。3)對一些協議,如UDP和RPC難以有效的過濾。
(2)代理技術
代理技術是與包過濾技術完全不同的另一種防火墻技術。其主要思想就是在兩個網絡之間設置一個“中間檢查站”,兩邊的網絡應用可以通過這個檢查站相互通信,但是它們之間不能越過它直接通信。這個“中間檢查站”就是代理服務器,它運行在兩個網絡之間,對網絡之間的每一個請求進行檢查。當代理服務器接收到用戶請求后,會檢查用戶請求合法性。若合法,則把請求轉發到真實的服務器上,并將答復再轉發給用戶。代理服務器是針對某種應用服務而寫的,工作在應用層。
優點:它將內部用戶和外界隔離開來,使得從外面只能看到代理服務器而看不到任何內部資源。與包過濾技術相比,代理技術是一種更安全的技術【9】。
缺點:在應用支持方面存在不足,執行速度較慢。(3)狀態監視技術 這是第三代防火墻技術,集成了前兩者的優點。能對網絡通信的各層實行檢測。同包過濾技術一樣,它能夠檢測通過IP地址、端口號以及TCP標記,過濾進出的數據包。它允許受信任的客戶機和不受信任的主機建立直接連接,不依靠與應用層有關的代理,而是依靠某種算法來識別進出的應用層數據,這些算法通過己知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級代理在過濾數據包上更有效。
狀態監視器的監視模塊支持多種協議和應用程序,可方便地實現應用和服務的擴充。此外,它還可監測RPC和UDP端口信息,而包過濾和代理都不支持此類端口。這樣,通過對各層進行監測,狀態監視器實現網絡安全的目的。目前,多使用狀態監測防火墻,它對用戶透明,在OSI最高層上加密數據,而無需修改客戶端程序,也無需對每個需在防火墻上運行的服務額外增加一個代理。
要想建立一個真正行之有效的安全的計算機網絡,僅使用防火墻還是不夠,在實際的應用中,防火墻常與其它安全措施,比如加密技術、防病毒技術等綜合應用,才起到防御的最大化的效果。3.4 防火墻的應用
3.4.1 個人防火墻的應用 瑞星個人防火墻的應用 1)安裝
第一步啟動安裝程序。
當把瑞星個人防火墻下載版安裝程序保存到您電腦中的指定目錄后,找到該目錄,雙擊運行安裝程序,就可以進行瑞星個人防火墻下載版的安裝了。
第二步完成安裝后,如圖3.1:
圖3.1 第三步輸入產品序列號和用戶ID。
啟動個人防火墻,當出現如圖3.2下所示的窗口后,在相應位置輸入您購買獲得的產品序列號和用戶ID,點擊“確定”,通過驗證后則會提示“您的瑞星個人防火墻現在可以正常使用”。
圖3.2 常見問題:不輸入產品序列號和用戶ID,產品將無法升級,防火墻保護功能將全部失效,您的計算機將無法抵御黑客攻擊。
2)升級
第一步網絡配置:
?打開防火墻主程序
?在菜單中依次選擇【設置】/【設置網絡】,打開【網絡設置】窗口,如圖3.3
圖3.3 1。設定網絡連接方式,如果設定“通過代理服務器訪問網絡”,還需要輸入代理服務器IP、端口、身份驗證信息。
2。您可以選中【使用安全升級模式】,確保升級期間阻止新的網絡連接 3。點擊【確定】按鈕完成設置
小提示:
1。如果您已經可以瀏覽網頁,說明網絡設置已經配置好了,這里直接使用默認設置即可。
2。如果您不使用撥號方式上網,將不會看到界面中【使用撥號網絡連接】的選項以及相關設置。
3。請確保此步設置正確,否則可能無法完成智能升級。
第二步:智能升級
完成網絡配置后,進行智能升級的操作方法:
方法一:點擊主界面右側的【智能升級】按鈕,圖3.4示:
圖3.4 方法二:在菜單中依次選擇【操作】/【智能升級】
方法三:右鍵點擊防火墻托盤圖標,在彈出菜單中選擇【啟動智能升級】 3)啟動瑞星個人防火墻下載版程序
啟動瑞星個人防火墻軟件主程序有三種方法:
方法一:進入【開始】/【所有程序】/【瑞星個人防火墻】,選擇【瑞星個人防火墻】即可啟動。
方法二:用鼠標雙擊桌面上的【瑞星個人防火墻】快捷圖標即可啟動。方法三:用鼠標單擊任務欄“快速啟動”上的【瑞星個人防火墻】快捷圖標
即可啟動。
成功啟動程序后的界面如下圖3.5所示:
圖3.5 主要界面元素
1、菜單欄:
用于進行菜單操作的窗口,包括【操作】、【設置】、【幫助】三個菜單。如圖3.6示:
圖3.6
2、操作按鈕:
位于主界面右側,包括【啟動/停止保護】、【連接/斷開網絡】、【智能升級】、【查看日志】。如圖3。7示:
圖3.7 功能:停止防火墻的保護功能,執行此功能后,您計算機將不再受瑞星防火墻的保護已處于停止保護狀態時,此按鈕將變為【啟用保護】;點擊將重新啟用防火墻的保護功能,您也可以通過菜單項【操作】/【停止保護】來執行此功能;將您的計算機完全與網絡斷開,就如同拔掉網線或是關掉Modem一樣。其他人都不能訪問您的計算機,但是您也不能再訪問網絡。這是在遇到頻繁攻擊時最為有效的應對方法;已經斷開網絡后,此項將變為【連接網絡】,點擊將恢復網絡連接;您也可以通過菜單項【操作】/【斷開網絡】來執行此功能;啟動智能升級程序對防火墻進行升級更新;您也可以通過菜單項【操作】/【智能升級】來執行此功能;啟動日志顯示程序;您也可能通過【操作】/【顯示日志】來執行此
功能。
3、標簽頁:
位于主界面上部,分【工作狀態】、【系統狀態】、【游戲保護】、【安全資訊】、【漏洞掃描】、【啟動選項】六個標簽。如圖3。8示:
圖3。8
4、安全級別:
位于主界面右下角,拖動滑塊到對應的安全級別,修改立即生效。
5、當前版本及更新日期:
位于主界面右上角,顯示防火墻當前版本及更新日期。
6、規則設置
配置防火墻的過濾規則(如圖3。9),包括: 黑名單:在黑名單中的計算機禁止與本機通訊
白名單:在白名單中的計算機對本地具有完全的訪問權限
端口開關:允許或禁止端口中的通訊,可簡單開關本機與遠程的端口 可信區:通過可信區的設置,可以把局域網和互聯網區分對待 IP規則:在IP層過濾的規則
訪問規則:本機中訪問網絡的程序的過濾規則
圖3。9 3.4.2 防火墻技術在校園網中應用
一、安裝防火墻
防火墻技術在校園網安全建設中得到廣泛的應用。由于防火墻是一種按某種規則對專網和互聯網,或對互聯網的一部分和其余部分之間的信息交換進行有條件的控制(包括隔離),從而阻斷不希望發生的網絡間通信的系統部署防火墻技術[10],構筑內外網之間的安全屏障,可以有效地將內部網與外部網隔離開來,保護校園網絡不受未經授權的第三方侵入。
二、校園網防火墻系統的配置
假定校園網通過Cisco路由器與INTERNET相連。校園內的IP地址范圍是確
定的,且有明確的閉和邊界,它有一個C類的IP地址,有DNS、Email、WWW、FTP等服務器,可采用以下存取控制策略。
1)對進入CERNET主干網的存取控制
2)對網絡中心資源主機的訪問控制,網絡中心的DNS、Email、FTP、WWW等服務器是重要的資源,要特別的保護,可對網絡中心所在子網禁止,DNS,Email,WWW,FTP以外的一切服務。
3)對校外非法網址的訪問,一般情況,一些傳播非法信息的站點主要在校外,而這些站點的域名可能是已知的。為防止IP地址欺騙和盜用需為對網絡內部人員訪問Internet進行一定限制在連接內部網絡的端口接收數據時進行IP地址和以太網地址檢查,盜用IP地址的數據包將被丟棄,并記錄有關信息;再連接 Internet 端接收數據時,如從外部網絡收到一段假冒內部IP地址發出的報文,也應丟棄,并記錄有關信息。防止IP地址被盜用的徹底解決辦法是:代理服務器防火墻和捆綁IP地址和以太網地址,對非法訪問的動態禁止一旦獲得某個IP地址的訪問是非法的,可立即更改路由器中的存取控制表,從而禁止其對外的非法訪問。首先應在路由器和校園網的以太口預設控制組102,然后過濾掉來自非法地址的所有IP包。
結論
計算機網絡的安全問題越來越受到人們的重視,一個安全的計算機網絡系統的保護不僅和系統管理員的系統安全知識有關,而且和每個使用者的安全操作等都有關系。網絡安全是動態的,新的Internet黑客站點、病毒與安全技術每日劇增,世界上不存在絕對安全的網絡系統,隨著計算機網絡技術的進一步發展,網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。
防火墻不能完全解決網絡安全的全部問題,如不能防范內部攻擊等,因此還需要考慮其他技術的和非技術的因素,如身份鑒別,信息加密術,提高網絡管理人員的安全意識等,總之,防火墻是網絡安全的第一道重要的安全屏障,如何提高防火墻的防護能力并保證系統的高速高效運行,不斷提高網絡安全水平,這將是一個隨著網絡技術的發展而不斷研究的課題。
致謝
本文是在指導老師胡楠老師的悉心教導下完成的。寫論文的這段時間,老師淵博的學識,嚴謹的治學太多和細心指導,以及他給我的支持和鼓勵使我終身難忘,我所取得的每一點成就都與導師的熱心關懷和精心指導是分不開的,值此論文完成之際,特別向導師致以衷心的感謝各崇高的敬意。
本課題的完成過程中,本人還得到了同學們及其他各方面的支持和幫助,特別感謝致謝在一起愉快的度過大學生活的各位室友,正是由于你們的幫助和支持,我才能克服一個一個的困難和疑惑,直至本文的順利完成。
在論文即將完成之際,我的心情無法平靜,從開始進入課題到論文的順利完成,有多少可敬的師長、同學、朋友給了我無言的幫助,在這里請接受我誠摯的謝意!我還要感謝培養我長大含辛茹苦的父母,謝謝你們!最后,我要向百忙之中抽時間對本文進行審閱,評議和參與本人論文答辯的各位老師表示感謝。
參考文獻
[1]張斌,黑客與反黑客,北京郵電大學出版社,Pag56-75 [2]石淑華,池瑞楠,計算機網絡安全技術(第二版),北京人民郵電出版社,Pag267-283 [3]肖新峰,宋強,王立新等,TCP/IP協議與網絡管理,北京清華大學出版社,Pag83-99 [4]李軍,防火墻上臺階,信息網絡安全2004年07期,Pag28—29 [5]陳愛民,計算機的安全與保密,北京電子工業出版社,pag35-42 [6]蔣建春,馬恒太,任黨恩等,網絡安全入侵檢測研究綜述軟件學報
[7]石淑華,池瑞楠,計算機網絡安全技術(第二版),北京人民郵電出版社,Pag70-104 [8]老聃,安全網關—網絡邊界防護的利器,信息安全與通信保密,2004年08期75 [9]陳平,何慶等主編,電腦2003合訂本,西南師范大學出版社,2004年1月 [10] 張穎,劉軍,王磊,計算機網絡安全的現狀及解決方法[N]電腦商情報 ,2007年1月
第四篇:淺析計算機網絡安全和防火墻技術論文
婁底職業技術學院計算機網絡專業
摘 要
隨著時代的發展,Internet日益普及,網絡已經成為信息資源的海洋,給人們帶來了極大的方便。但由于Internet是一個開放的,無控制機構的網絡,經常會受到計算機病毒、黑客的侵襲。它可使計算機和計算機網絡數據和文件丟失,系統癱瘓。因此,計算機網絡系統安全問題必須放在首位。作為保護局域子網的一種有效手段,防火墻技術備受睞。
本文主要闡述了網絡安全技術所要受到的各方面威脅以及自身存在的一些缺陷,所謂知己知彼,百戰不殆。只有了解了網絡安全存在的內憂外患,才能更好的改善網絡安全技術,發展網絡安全技術。然后主要闡述防火墻在網絡安全中起到的巨大的作用,防火墻的優缺點及各種類型防火墻的使用和效果。
計算機網絡技術的在飛速發展中,尤其是互聯網的應用變得越來越廣泛,在帶來了前所未有的海量信息的同時,網絡的開放性和自由性也產生了私有信息和數據被破壞或侵犯的可能性,網絡信息的安全性變得日益重要,只有熟悉了各種對網絡安全的威脅,熟悉各種保護網路安全的技術,我們才能更好的保護計算機和信息的安全。
關鍵字:計算機網絡;網絡安全;防范措施;防火墻技術
婁底職業技術學院計算機網絡專業
Abstract With the development of The Times, the Internet has become increasingly popular and network information resources of the sea, and bring great convenience。But because of the Internet is an open, without control network, computer virus, often by hackers。It can make the computer and the computer network, the system files and data loss。Therefore, the computer network system security problems must be given priority。As the protection of local subnet an effective means, firewall technology。
This article mainly elaborated by network security technology to every aspect of the threat and its existence, some defects, so-called awareness。The existence of the 1930's and network security, can improve network security technology, the development of network security technology。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。
The computer network technology, especially in the rapid development of the Internet is becoming more and more widely applied in brought an unprecedented huge amounts of information, network of openness and freedom in the private information and data were damaged or infringed, the possibility of network information security is becoming increasingly important, only familiar to all kinds of network security threats, familiar with various protection network security technology, we can better protect the computer and information security。
Key words: Computer network, Network security, The prevention measures, Firewall technology
II 淺析計算機網絡安全和防火墻技術
目錄
摘 要................................................I Abstract.............................................II 引言.................................................1 第一章 網絡安全概述.................................2 1.1 計算機網絡安全的含義..........................2 1.2 網絡信息安全的主要威脅........................2 1.2.1 自然威脅..................................2 1.2.2 人為威脅—黑客攻擊與計算機病毒............3 1.3 計算機網絡中的安全缺陷及產生原因..............4 1.4 影響計算機網絡安全的因素......................5 第二章 計算機網絡安全防范策略.......................6 2.1 防火墻技術....................................6 2.2 數據加密與用戶授權訪問控制技術................9 2.3 入侵檢測技術.................................10 2.4 防病毒技術...................................11 2.5 安全管理隊伍的建設...........................11 第三章 防火墻技術..................................12 3.1 防火墻的定義.................................12 3.2 防火墻的功能.................................12 3.2.1 防火墻是網絡安全的屏障...................12 3.2.2 防火墻的種類.............................13 3.3 防火墻的技術原理.............................13 3.4 防火墻的應用.................................15 3.4.1 個人防火墻的應用.........................15 3.4.2 防火墻技術在校園網中應用.................20 結論................................................22
III 婁底職業技術學院計算機網絡專業
致謝................................................23 參考文獻.............................................24 IV 淺析計算機網絡安全和防火墻技術
引言
近年來,隨著計算機網絡技術的飛速發展,尤其是互聯網的應用變得越來越廣泛,在帶來了前所未有的海量信息的同時,計算機網絡的安全性變得日益重要起來,由于計算機網絡聯接形式的多樣性、終端分布的不均勻性、網絡的開放性和網絡資源的共享性等因素,致使計算機網絡容易遭受病毒、黑客、惡意軟件和其它不軌行為的攻擊【1】。
為確保信息的安全與網絡暢通,研究計算機網絡的安全與防護措施已迫在眉捷,但網絡安全問題至今仍沒有能夠引起足夠的重視,更多的用戶認為網絡安全問題離自己尚遠,這一點從大約有40%以上的用戶特別是企業級用戶沒有安裝防火墻(Firewall)便可以窺見一斑,而所有的問題都在向大家證明一個事實,大多數的黑客入侵事件都是由于未能正確安裝防火墻而引發,所以防火墻技術應當引起我們的注意和重視。
本文主要研究網絡安全的缺陷原由及網絡安全技術的原理和其他技術,如防火墻技術對網絡安全起到的不可忽視的影響。
婁底職業技術學院計算機網絡專業
第一章網絡安全概述
1.1 計算機網絡安全的含義
計算機網絡安全的具體含義會隨著使用者的變化而變化,使用者不同,對網絡安全的認識和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個人隱私或機密信息在網絡上傳輸時受到保護,避免被竊聽、篡改和偽造;而網絡提供商除了關心這些網絡信息安全外,還要考慮如何應付突發的自然災害、軍事打擊等對網絡硬件的破壞,以及在網絡出現異常時如何恢復網絡通信,保持網絡通信的連續性。
從本質上來講,網絡安全包括組成網絡系統的硬件、軟件及其在網絡上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網絡安全既有技術方面的問題,也有管理方面的問題,兩方面相互補充,缺一不可。人為的網絡入侵和攻擊行為使得網絡安全面臨新的挑戰。
1.2 網絡信息安全的主要威脅
網絡安全所面臨的威脅來自很多方面,并且隨著時問的變化而變化。這些威脅可以宏觀地分為自然威脅和人為威脅。
1.2.1 自然威脅
自然威脅可能來自于各種自然災害、惡劣的場地環境、電磁輻射和電磁干擾、網絡設備的自然老化等。這些無目的的事件,有時會直接威脅網絡的安全,影響信息的存儲媒體。
淺析計算機網絡安全和防火墻技術
1.2.2 人為威脅—黑客攻擊與計算機病毒
人為威脅就是說對網絡的人為攻擊。這些攻擊手段都是通過尋找系統的弱點【2】,以便達到破壞、欺騙、竊取數據等目的,造成經濟上和政治上不可估量的損失。網絡安全的人為威脅主要分為以下幾種:
? 網絡缺陷
Intemet由于它的開放性迅速在全球范圍內普及,但也正是因為開放性使其保護信息安全存在先天不足。Internet最初的設計考慮主要是考慮資源共享,基本沒有考慮安全問題,缺乏相應的安全監督機制。? 黑客攻擊
自1998年后,網上的黑客越來越多,也越來越猖獗;與此同時黑客技術逐漸被越來越多的人掌握現在還缺乏針對網絡犯罪卓有成效的反擊和跟蹤手段,使得黑客攻擊的隱蔽性好,“殺傷力”強,這是網絡安全的主要威脅之一。
? 各種病毒
病毒時時刻刻威脅著整個互聯網。像Nimda和CodeRed的爆發更是具有深遠的影響,促使人們不得不在網絡的各個環節考慮對于各種病毒的檢測防治,對病毒徹底防御的重要性毋庸置疑。
? 管理的欠缺及資源濫用
很多上了互聯網的企業缺乏對于網絡安全的認識,管理上存在很多漏洞,特別是國內的企業,只是提供了接入Internet的通道,對于網絡上黑客的攻擊缺乏基本的應對措施,同時企業內部普遍存在資源濫用現象,這是造成網絡安全問題的根本原因。軟件的漏洞和后門:隨著CPU的頻率越來越高,軟件的規模越來越大,軟件系統中的漏洞也不可避免的存在,強大如微軟所開發的Windows也存在。各種各樣的安全漏洞和“后門”,這是網絡安全的主要威脅之一。
? 網絡內部用戶的誤操作和惡意行為
對于來自網絡內部的攻擊,主流的網絡安全產品防火墻基本無能為力,這類攻擊及其誤操作行為需要網絡信息 3 婁底職業技術學院計算機網絡專業
審計、IDS等主要針對內部網絡安全的安全產品來抵御。? 網絡資源濫用
網絡有了安全保證和帶寬管理,依然不能防止員工對網絡資源的濫用。等行為極大地降低了員工的工作效率。管理層希望員工更加有效地使用互聯網,盡量避免網絡對工作帶來負面影響。? 信息泄漏
惡意、過失的不合理信息上傳和發布,可能會造成敏感信息泄漏、有害信息擴散,危及社會、國家、體和個人利益。更有基于競爭需要,利用技術手段對目標機信息資源進行竊取。在眾多人為威脅中來自用戶和惡意軟件即計算機病毒的非法侵入嚴重,計算機病毒是利用程序干擾破壞系統正常工作的一種手段,它的產生和蔓延給信息系統的可靠性和安全性帶來嚴重的威脅和巨大的損失。
1.3 計算機網絡中的安全缺陷及產生原因
網絡安全缺陷產生的原因主要有:
第一TCP/IP的脆弱性。因特網的基石是TCP/IP協議【3】,不幸的是該協議對于網絡的安全性考慮得并不多。并且,由于TCP/IP協議是公布于眾的,如果人們對TCP/IP很熟悉,就可以利用它的安全缺陷來實施網絡攻擊。
第二,網絡結構的不安全性。因特網是一種網間網技術。它是由無數個局域網所連成的一個巨大網絡。當人們用一臺主機和另一局域網的主機進行通信時,通常情況下它們之間互相傳送的數據流要經過很多機器重重轉發,如果攻擊者利用一臺處于用戶的數據流傳輸路徑上的主機,他就可以劫持用戶的數據包。
第三,易被竊聽。由于因特網上大多數數據流都沒有加密,因此人們利用網上免費提供的工具就很容易對網上的電子郵件、口令和傳輸的文件進行竊聽。
第四,缺乏安全意識。雖然網絡中設置了許多安全保護屏障,但人們普遍缺乏安全意識,從而使這些保護措施形同虛設。如人們為了避開防火墻代理服務器的額外認證,進行直接的PPP連接從而避開了防火墻的保護。淺析計算機網絡安全和防火墻技術
1.4 影響計算機網絡安全的因素
①網絡資源的共享性。資源共享是計算機網絡應用的主要目的,但這為系統安全的攻擊者利用共享的資源進行破壞提供了機會。隨著互聯網需求的日益增長,外部服務請求不可能做到完全隔離,攻擊者利用服務請求的機會很容易獲取網絡數據包。
②網絡的開放性。網上的任何一個用戶很方便訪問互聯網上的信息資源,從而很容易獲取到一個企業、單位以及個人的敏感性信息。
③網絡操作系統的漏洞。網絡操作系統是網絡協議和網絡服務得以實現的最終載體之一,它不僅負責網絡硬件設備的接口封裝,同時還提供網絡通信所需要的各種協議和服務的程序實現。由于網絡協議實現的復雜性,決定了操作系統必然存在各種實現過程所帶來的缺陷和漏洞。
④網絡系統設計的缺陷。網絡設計是指拓撲結構的設計和各種網絡設備的選擇等。網絡設備、網絡協議、網絡操作系統等都會直接帶來安全隱患。合理的網絡設計在節約資源的情況下,還可以提供較好的安全性。不合理的網絡設計則會成為網絡的安全威脅。
⑤惡意攻擊。就是人們常見的黑客攻擊及網絡病毒,這是最難防范的網絡安全威脅。隨著電腦教育的大眾化,這類攻擊也是越來越多,影響越來越大。婁底職業技術學院計算機網絡專業
第二章計算機網絡安全防范策略
計算機網絡安全從技術上來說,主要由防病毒、防火墻、入侵檢測等多個安全組件組成,任何一個單獨的組件都無法確保網絡信息的安全性。目前廣泛運用和比較成熟的網絡安全技術主要有:防火墻技術、數據加密技術、入侵檢測技術、防病毒技術等,以下就此幾項技術分別進行分析。
2.1 防火墻技術
防火墻網絡安全的屏障,配置防火墻是實現網絡安全最基本、最經濟、最有效的安全措施之一。防火墻是指一個由軟件或和硬件設備組合而成,處于企業或網絡群體計算機與外界通道之間,限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限。當一個網絡接上Internet之后,系統的安全除了考慮計算機病毒、系統的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術完成。防火墻能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。
防火墻可以強化網絡安全策略。通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令、加密、身份認證)配置在防火墻上。其次對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。再次防止內部信息的外泄。利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離【4】,從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響。
為了讓大家更好地使用防火墻,我們從反面列舉4個有代表性的失敗案例。
例1:未制定完整的企業安全策略 淺析計算機網絡安全和防火墻技術
網絡環境:某中型企業購買了適合自己網絡特點的防火墻,剛投入使用后,發現以前局域網中肆虐橫行的蠕蟲病毒不見了,企業網站遭受拒絕服務攻擊的次數也大大減少了,為此,公司領導特意表揚了負責防火墻安裝實施的信息部。
該企業網絡環境如圖2.1所示:
圖2.1 該企業內部網絡的核心交換機是帶路由模塊的三層交換機,出口通過路由器和ISP連接。內部網劃分為5個VLAN,VLAN
1、VLAN 2和VLAN 3分配給不同的部門使用,不同的VLAN之間根據部門級別設置訪問權限;VLAN 4分配給交換機出口地址和路由器使用;VLAN 5分配給公共服務器使用。在沒有加入防火墻之前,各個VLAN中的PC機能夠通過交換機和路由器不受限制地訪問Internet。加入防火墻后,給防火墻分配一個VLAN 4中的空閑IP地址,并把網關指向路由器;將VLAN 5接入到防火墻的一個網口上。這樣,防火墻就把整個網絡分為3個區域: 內部網、公共服務器區和外部網,三者之間的通信受到防火墻安全規則的限制。
問題描述:防火墻投入運行后,實施了一套較為嚴格的安全規則,導致公司員工無法使用QQ聊天軟件,于是沒過多久就有員工自己撥號上網,導致感染了特洛依木馬 婁底職業技術學院計算機網絡專業
和蠕蟲等病毒,并立刻在公司內部局域網中傳播開來,造成內部網大面積癱瘓。
問題分析:我們知道,防火墻作為一種保護網絡安全的設備,必須部署在受保護網絡的邊界處,只有這樣防火墻才能控制所有出入網絡的數據通信,達到將入侵者拒之門外的目的。如果被保護網絡的邊界不惟一,有很多出入口,那么只部署一臺防火墻是不夠的。在本案例中,防火墻投入使用后,沒有禁止私自撥號上網行為,使得許多PC機通過電話線和Internet相連,導致網絡邊界不惟一,入侵者可以通過攻擊這些PC機然后進一步攻擊內部網絡,從而成功地避開了防火墻。
解決辦法:根據自己企業網的特點,制定一整套安全策略,并徹底地貫徹實施。比如說,制定一套安全管理規章制度,嚴禁員工私自撥號上網;同時封掉撥號上網的電話號碼,并購買檢測撥號上網的軟件,這樣從管理和技術上杜絕出現網絡邊界不惟一的情況發生。另外,考慮到企業員工的需求,可以在防火墻上添加按照時間段生效的安全規則,在非工作時間打開QQ使用的TCP/UDP端口,使得企業員工可以在工余時間使用QQ聊天軟件。
例2:未考慮與其他安全產品的配合使用 問題描述:某公司購買了防火墻后,緊接著又購買了漏洞掃描和IDS(入侵檢測系統)產品。當系統管理員利用IDS發現入侵行為后,必須每次都要手工調整防火墻安全策略,使管理員工作量劇增,而且經常調整安全策略,也給整個網絡帶來不良影響。
問題分析:選購防火墻時未充分考慮到與其他安全產品如IDS的聯動功能,導致不能最大程度地發揮安全系統的作用。
解決辦法:購買防火墻前應查看企業網是否安裝了漏洞掃描或IDS等其他安全產品,以及具體產品名稱和型號,然后確定所要購買的防火墻是否有聯動功能(即是否支持其他安全產品,尤其是IDS產品),支持的是哪些品牌和型號的產品,是否與已有的安全產品名稱相符,如果不符,最好不要選用,而選擇能同已有安全產品聯動的防火墻。這樣,當IDS發現入侵行為后,在通知管理員的同 淺析計算機網絡安全和防火墻技術
時發送消息給防火墻,由防火墻自動添加相關規則,把入侵者拒之門外。
例3:未經常維護升級防火墻 問題描述:某政府機構購置防火墻后已安全運行一年多,由于該機構網絡結構一直很穩定,沒有什么變化,各種應用也運行穩定,因此管理員逐漸放松了對防火墻的管理,只要網絡一直保持暢通即可,不再關心防火墻的規則是否需要調整,軟件是否需要升級。而且由于該機構處于政府專網內,與Internet物理隔離,防火墻無法實現在線升級。因此該機構的防火墻軟件版本一直還是購買時的舊版本,雖然管理員一直都收到防火墻廠家通過電子郵件發來的軟件升級包,但從未手工升級過。在一次全球范圍的蠕蟲病毒迅速蔓延事件中,政府專網也受到蠕蟲病毒的感染,該機構防火墻因為沒有及時升級,無法抵御這種蠕蟲病毒的攻擊,造成整個機構的內部網大面積受感染,網絡陷于癱瘓之中。
問題分析:安全與入侵永遠是一對矛盾。防火墻軟件作為一種安全工具,必須不斷地升級與更新才能應付不斷發展的入侵手段,過時的防護盾牌是無法抵擋最先進的長矛的。作為安全管理員來說,應當時刻留心廠家發布的升級包,及時給防火墻打上最新的補丁。
解決辦法:及時維護防火墻,當本機構發生人員變動、網絡調整和應用變化時,要及時調整防火墻的安全規則,及時升級防火墻。
從以上三個案例我們可以得出一些結論:防火墻只是保證安全的一種技術手段,要想真正實現安全,安全策略是核心問題。保護網絡安全不僅僅是防火墻一種產品,只有將多種安全產品無縫地結合起來,充分利用它們各自的優點,才能最大限度地保證網絡安全。而保護網絡安全是動態的過程,防火墻需要積極地維護和升級。
2.2
數據加密與用戶授權訪問控制技術
與防火墻相比,數據加密與用戶授權訪問控制技術比 婁底職業技術學院計算機網絡專業
較靈活,更加適用于開放的網絡。用戶授權訪問控制主要用于對靜態信息的保護,需要系統級別的支持,一般在操作系統中實現。數據加密主要用于對動態信息的保護。對動態數據的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現這一切的基礎就是數據加密。數據加密實質上是對以符號為基礎的數據進行移位和置換的變換算法,這種變換是對稱密鑰算法”。這樣的密鑰必須秘密保管,只能為授權用戶所知,授權用戶既可以用該密鑰加密信急,也可以用該密鑰解密信息,DES是對稱加密算法中最具代表性的算法。在公鑰加密算法中,公鑰是公開的,任何人可以用公鑰加密信息,再將密文發送給私鑰擁有者。私鑰是保密的,用于解密其接收的公鑰加密過的信息【5】。典型的公鑰加密算法~nRSA是目前使用比較廣泛的加密算法。
2.3 入侵檢測技術
入侵檢測系統(IntrusionDetectionSystem,IDS)是從多種計算機系統及網絡系統中收集信息,再通過此信息分析入侵特征的網絡安全系統。IDS被認為是防火墻之后的第二道安全閘門,它能使在入侵攻擊對系統發生危害前,檢測到入侵攻擊,并利用報警與防護系統驅逐入侵攻擊:在入侵攻擊過程中,能減少入侵攻擊所造成的損失;在被入侵攻擊后,收集入侵攻擊的相關信息,作為防范系統的知識,添加入策略集中,增強系統的防范能力,避免系統再次受到同類型的入侵【6】。
入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。入侵檢測技術的功能主要體現在以下方面:
1)分析用戶及系統活動,查找非法用戶和合法用戶的越權操作;
2)檢測系統配置的正確性和安全漏洞,并提示管理員修 淺析計算機網絡安全和防火墻技術
3)4)5)6)7)補漏洞;
識別反映已知進攻的活動模式并向相關人上報警; 對異常行為模式的統計分析;
能夠實時地對檢測到的入侵行為進行反應; 評估重要系統和數據文件的完整性; 可以發現新的攻擊模式;
2.4 防病毒技術
隨著計算機技術的不斷發展,計算機病毒變得越來越復雜和高級,對計算機信息系統構成極大的威脅。在病毒防范中普遍使用的防病毒軟件,從功能上可以分為網絡防病毒軟件和單機防病毒軟件兩大類。單機防病毒軟件一般安裝在單臺Pc上,即對本地和本地工作站連接的遠程資源采用分析掃描的方式檢測、清除病毒。網絡防病毒軟件則主要注重網絡防病毒,一旦病毒入侵網絡或者從網絡向其它資源傳染,網絡防病毒軟件會立刻檢測到并加以刪除【7】。
2.5 安全管理隊伍的建設
在計算機網絡系統中,絕對的安全是不存在的,制定健全的安全管理體制是計算機網絡安全的重要保證,只有通過網絡管理人員與使用人員的共同努力,運用一切可以使用的工具和技術,盡一切可能去控制、減小一切非法的行為,盡可能地把不安全的因素降到最低。同時,要不斷地加強計算機信息網絡的安全規范化管理力度,大力加強安全技術建設,強化使用人員和管理人員的安全防范意識。網絡內使用的IP地址作為一種資源以前一直為某些管理人員所忽略,為了更好地進行安全管理工作,應該對本網內的IP地址資源統一管理、統一分配。對于盜用IP資源的用戶必須依據管理制度嚴肅處理。只有共同努力,才能使計算機網絡的安全可靠得到保障,從而使廣大網絡用戶的利益得到保障。婁底職業技術學院計算機網絡專業
第三章防火墻技術
3.1 防火墻的定義
防火墻是指設置在不同網絡或網絡安全域之間信息的唯一出入口,能根據網絡的安全政策控制(允許拒絕監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。
Internet防火墻是一個或一組系統,它能增強機構內部網絡的安全性,用于加強網絡間的訪問控制,防止外部用戶非法使用內部網的資源,保護內部網絡的設備不被破壞,防止內部網絡的敏感數據被竊取,防火墻系統還決定了哪些內部服務可以被外界訪問,外界的哪些人可以訪問內部的服務,以及哪些外部服務何時可以被內部人員訪問。要使一個防火墻有效,所有來自和去往Internet的信息都必須經過防火墻并接受檢查。防火墻必須只允許授權的數據通過,并且防火墻本身也必須能夠免于滲透。但是,防火墻系統一旦被攻擊突破或迂回繞過,就不能提供任何保護了。
3.2 防火墻的功能
3.2.1 防火墻是網絡安全的屏障
防火墻(作為阻塞點,控制點)能極大地提高一個內部網絡的安全性,并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻,所以網絡環境變得更安全。
防火墻可以強化網絡安全策略,通過以防火墻為中心的安全方案配置,能將所有安全軟件(如口令加密身份認證審計等)配置在防火墻上,對網絡存取和訪問進行監控審計:所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并作出日志記錄,同時也能提供網絡使用情況的統計數據,當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。防止內 淺析計算機網絡安全和防火墻技術
部信息的外泄,通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。
3.2.2 防火墻的種類
防火墻技術可根據防范的方式和側重點的不同,總體來講可分為二大類:分組過濾,應用代理。
分組過濾(Packetfiltering);作用在網絡層和傳輸層,它根據分組包頭源地址,目的地址和端口號,協議類型等標志確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發到相應的目的地出口端,其余數據包則被從數據流中丟棄。
應用代理(ApplicationProxy):也叫應用網關(ApplicationGateway), 它作用在應用層,其特點是完全 “ 阻隔 ” 了網絡通信流通過對每種應用服務編制專門的代理程序,實現監視和控制應用層通信流的作用,實際中的應用網關通常由專用工作站實現【8】。
3.3 防火墻的技術原理
目前,防火墻系統的工作原理因實現技術不同,大致可分為三種:
(1)包過濾技術
包過濾技術是一種基于網絡層的防火墻技術。根據設 置好的過濾規則,通過檢查IP數據包來確定是否該數據包通過。而那些不符合規定的IP地址會被防火墻過濾掉,由此保證網絡系統的安全。該技術通常可以過濾基于某些或所有下列信息組的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包過濾技術實際上是一種基于路由器的技術,其最大優點就是價格便宜,實現邏輯簡單便于安裝和使用。
缺點:1)過濾規則難以配置和測試。2)包過濾只訪問網絡層和傳輸層的信息,訪問信息有限,對網絡更高協議層的信息無理解能力。3)對一些協議,如UDP和RPC難以有效的過濾。婁底職業技術學院計算機網絡專業
(2)代理技術
代理技術是與包過濾技術完全不同的另一種防火墻技術。其主要思想就是在兩個網絡之間設置一個“中間檢查站”,兩邊的網絡應用可以通過這個檢查站相互通信,但是它們之間不能越過它直接通信。這個“中間檢查站”就是代理服務器,它運行在兩個網絡之間,對網絡之間的每一個請求進行檢查。當代理服務器接收到用戶請求后,會檢查用戶請求合法性。若合法,則把請求轉發到真實的服務器上,并將答復再轉發給用戶。代理服務器是針對某種應用服務而寫的,工作在應用層。
優點:它將內部用戶和外界隔離開來,使得從外面只能看到代理服務器而看不到任何內部資源。與包過濾技術相比,代理技術是一種更安全的技術【9】。
缺點:在應用支持方面存在不足,執行速度較慢。(3)狀態監視技術 這是第三代防火墻技術,集成了前兩者的優點。能對網絡通信的各層實行檢測。同包過濾技術一樣,它能夠檢測通過IP地址、端口號以及TCP標記,過濾進出的數據包。它允許受信任的客戶機和不受信任的主機建立直接連接,不依靠與應用層有關的代理,而是依靠某種算法來識別進出的應用層數據,這些算法通過己知合法數據包的模式來比較進出數據包,這樣從理論上就能比應用級代理在過濾數據包上更有效。
狀態監視器的監視模塊支持多種協議和應用程序,可方便地實現應用和服務的擴充。此外,它還可監測RPC和UDP端口信息,而包過濾和代理都不支持此類端口。這樣,通過對各層進行監測,狀態監視器實現網絡安全的目的。目前,多使用狀態監測防火墻,它對用戶透明,在OSI最高層上加密數據,而無需修改客戶端程序,也無需對每個需在防火墻上運行的服務額外增加一個代理。
要想建立一個真正行之有效的安全的計算機網絡,僅使用防火墻還是不夠,在實際的應用中,防火墻常與其它安全措施,比如加密技術、防病毒技術等綜合應用,才起到防御的最大化的效果。淺析計算機網絡安全和防火墻技術
3.4 防火墻的應用
3.4.1 個人防火墻的應用
瑞星個人防火墻的應用 1)安裝
第一步啟動安裝程序。
當把瑞星個人防火墻下載版安裝程序保存到您電腦中的指定目錄后,找到該目錄,雙擊運行安裝程序,就可以進行瑞星個人防火墻下載版的安裝了。
第二步完成安裝后,如圖3.1:
圖3.1 第三步輸入產品序列號和用戶ID。
啟動個人防火墻,當出現如圖3.2下所示的窗口后,在相應位置輸入您購買獲得的產品序列號和用戶ID,點擊“確定”,通過驗證后則會提示“您的瑞星個人防火墻現在可以正常使用”。
婁底職業技術學院計算機網絡專業
圖3.2 常見問題:不輸入產品序列號和用戶ID,產品將無法升級,防火墻保護功能將全部失效,您的計算機將無法抵御黑客攻擊。
2)升級
第一步網絡配置:
?打開防火墻主程序 ?在菜單中依次選擇【設置】/【設置網絡】,打開【網絡設置】窗口,如圖3.3 圖3.3 1。設定網絡連接方式,如果設定“通過代理服務器訪問網絡”,還需要輸入代理服務器IP、端口、身份驗證信息。
2。您可以選中【使用安全升級模式】,確保升級期間阻止新的網絡連接 淺析計算機網絡安全和防火墻技術
3。點擊【確定】按鈕完成設置
小提示:
1。如果您已經可以瀏覽網頁,說明網絡設置已經配置好了,這里直接使用默認設置即可。
2。如果您不使用撥號方式上網,將不會看到界面中【使用撥號網絡連接】的選項以及相關設置。
3。請確保此步設置正確,否則可能無法完成智能升級。
第二步:智能升級
完成網絡配置后,進行智能升級的操作方法:
方法一:點擊主界面右側的【智能升級】按鈕,圖3.4示:
圖3.4 方法二:在菜單中依次選擇【操作】/【智能升級】 方法三:右鍵點擊防火墻托盤圖標,在彈出菜單中選擇【啟動智能升級】
3)啟動瑞星個人防火墻下載版程序
啟動瑞星個人防火墻軟件主程序有三種方法:
方法一:進入【開始】/【所有程序】/【瑞星個人防火墻】,選擇【瑞星個人防火墻】即可啟動。
方法二:用鼠標雙擊桌面上的【瑞星個人防火墻】快捷圖標即可啟動。
方法三:用鼠標單擊任務欄“快速啟動”上的【瑞星 婁底職業技術學院計算機網絡專業
個人防火墻】快捷圖標即可啟動。
成功啟動程序后的界面如下圖3.5所示:
圖3.5 主要界面元素
1、菜單欄:
用于進行菜單操作的窗口,包括【操作】、【設置】、【幫助】三個菜單。如圖3.6示:
圖3.6
2、操作按鈕:
位于主界面右側,包括【啟動/停止保護】、【連接/斷開網絡】、【智能升級】、【查看日志】。如圖3。7示:
圖3.7 功能:停止防火墻的保護功能,執行此功能后,您計 淺析計算機網絡安全和防火墻技術
算機將不再受瑞星防火墻的保護已處于停止保護狀態時,此按鈕將變為【啟用保護】;點擊將重新啟用防火墻的保護功能,您也可以通過菜單項【操作】/【停止保護】來執行此功能;將您的計算機完全與網絡斷開,就如同拔掉網線或是關掉Modem一樣。其他人都不能訪問您的計算機,但是您也不能再訪問網絡。這是在遇到頻繁攻擊時最為有效的應對方法;已經斷開網絡后,此項將變為【連接網絡】,點擊將恢復網絡連接;您也可以通過菜單項【操作】/【斷開網絡】來執行此功能;啟動智能升級程序對防火墻進行升級更新;您也可以通過菜單項【操作】/【智能升級】來執行此功能;啟動日志顯示程序;您也可能通過【操作】/【顯示日志】來執行此功能。
3、標簽頁:
位于主界面上部,分【工作狀態】、【系統狀態】、【游戲保護】、【安全資訊】、【漏洞掃描】、【啟動選項】六個標簽。如圖3。8示:
圖3。8
4、安全級別: 位于主界面右下角,拖動滑塊到對應的安全級別,修改立即生效。
5、當前版本及更新日期:
位于主界面右上角,顯示防火墻當前版本及更新日期。
6、規則設置
配置防火墻的過濾規則(如圖3。9),包括: 黑名單:在黑名單中的計算機禁止與本機通訊 白名單:在白名單中的計算機對本地具有完全的訪問權限
端口開關:允許或禁止端口中的通訊,可簡單開關本機與遠程的端口 婁底職業技術學院計算機網絡專業
可信區:通過可信區的設置,可以把局域網和互聯網區分對待
IP規則:在IP層過濾的規則
訪問規則:本機中訪問網絡的程序的過濾規則
圖3。9 3.4.2 防火墻技術在校園網中應用
一、安裝防火墻
防火墻技術在校園網安全建設中得到廣泛的應用。由于防火墻是一種按某種規則對專網和互聯網,或對互聯網的一部分和其余部分之間的信息交換進行有條件的控制(包括隔離),從而阻斷不希望發生的網絡間通信的系統部署防火墻技術[10],構筑內外網之間的安全屏障,可以有效地將內部網與外部網隔離開來,保護校園網絡不受未經授權的第三方侵入。
二、校園網防火墻系統的配置
假定校園網通過Cisco路由器與INTERNET相連。校園內的IP地址范圍是確定的,且有明確的閉和邊界,它有一個C類的IP地址,有DNS、Email、WWW、FTP等服務器,可采用以下存取控制策略。
1)對進入CERNET主干網的存取控制
2)對網絡中心資源主機的訪問控制,網絡中心的DNS、Email、FTP、WWW等服務器是重要的資源,要特別的保護,可對網絡中心所在子網禁止,DNS,Email,WWW,FTP 淺析計算機網絡安全和防火墻技術
以外的一切服務。
3)對校外非法網址的訪問,一般情況,一些傳播非法信息的站點主要在校外,而這些站點的域名可能是已知的。為防止IP地址欺騙和盜用需為對網絡內部人員訪問Internet進行一定限制在連接內部網絡的端口接收數據時進行IP地址和以太網地址檢查,盜用IP地址的數據包將被丟棄,并記錄有關信息;再連接 Internet 端接收數據時,如從外部網絡收到一段假冒內部IP地址發出的報文,也應丟棄,并記錄有關信息。防止IP地址被盜用的徹底解決辦法是:代理服務器防火墻和捆綁IP地址和以太網地址,對非法訪問的動態禁止一旦獲得某個IP地址的訪問是非法的,可立即更改路由器中的存取控制表,從而禁止其對外的非法訪問。首先應在路由器和校園網的以太口預設控制組102,然后過濾掉來自非法地址的所有IP包。婁底職業技術學院計算機網絡專業
結論
計算機網絡的安全問題越來越受到人們的重視,一個安全的計算機網絡系統的保護不僅和系統管理員的系統安全知識有關,而且和每個使用者的安全操作等都有關系。網絡安全是動態的,新的Internet黑客站點、病毒與安全技術每日劇增,世界上不存在絕對安全的網絡系統,隨著計算機網絡技術的進一步發展,網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。
防火墻不能完全解決網絡安全的全部問題,如不能防范內部攻擊等,因此還需要考慮其他技術的和非技術的因素,如身份鑒別,信息加密術,提高網絡管理人員的安全意識等,總之,防火墻是網絡安全的第一道重要的安全屏障,如何提高防火墻的防護能力并保證系統的高速高效運行,不斷提高網絡安全水平,這將是一個隨著網絡技術的發展而不斷研究的課題。淺析計算機網絡安全和防火墻技術
致謝
本文是在指導老師胡楠老師的悉心教導下完成的。寫論文的這段時間,老師淵博的學識,嚴謹的治學太多和細心指導,以及他給我的支持和鼓勵使我終身難忘,我所取得的每一點成就都與導師的熱心關懷和精心指導是分不開的,值此論文完成之際,特別向導師致以衷心的感謝各崇高的敬意。
本課題的完成過程中,本人還得到了同學們及其他各方面的支持和幫助,特別感謝致謝在一起愉快的度過大學生活的各位室友,正是由于你們的幫助和支持,我才能克服一個一個的困難和疑惑,直至本文的順利完成。
在論文即將完成之際,我的心情無法平靜,從開始進入課題到論文的順利完成,有多少可敬的師長、同學、朋友給了我無言的幫助,在這里請接受我誠摯的謝意!我還要感謝培養我長大含辛茹苦的父母,謝謝你們!最后,我要向百忙之中抽時間對本文進行審閱,評議和參與本人論文答辯的各位老師表示感謝。
婁底職業技術學院計算機網絡專業
參考文獻
[1]張斌,黑客與反黑客,北京郵電大學出版社,Pag56-75 [2]石淑華,池瑞楠,計算機網絡安全技術(第二版),北京人民郵電出版社,Pag267-283 [3]肖新峰,宋強,王立新等,TCP/IP協議與網絡管理,北京清華大學出版社,Pag83-99 [4]李軍,防火墻上臺階,信息網絡安全2004年07期,Pag28—29 [5]陳愛民,計算機的安全與保密,北京電子工業出版社,pag35-42 [6]蔣建春,馬恒太,任黨恩等,網絡安全入侵檢測研究綜述軟件學報 [7]石淑華,池瑞楠,計算機網絡安全技術(第二版),北京人民郵電出版社,Pag70-104 [8]老聃,安全網關—網絡邊界防護的利器,信息安全與通信保密,2004年08期75
[9]陳平,何慶等主編,電腦2003合訂本,西南師范大學出版社,2004年1月
[10] 張穎,劉軍,王磊,計算機網絡安全的現狀及解決方法[N]電腦商情報 ,2007年1月
第五篇:計算機網絡安全防火墻技術畢業論文
計算機網絡安全防火墻技術畢業論文
防火墻原是指建筑物大廈用來防止火災蔓延的隔斷墻。從理論上講,Internet防火墻服務也屬于類似的用來防止外界侵入的。它可以防止 Internet上的各種危險(病毒、資源盜用等)傳播到你的網絡內部。而事實上,防火墻并不像現實生活中的防火墻,它有點像古代守護城池用的護城河,服務于以下多個目的:
1)限定人們從一個特定的控制點進入;
2)限定人們從一個特定的點離開;
3)防止侵入者接近你的其他防御設施;
4)有效地阻止破壞者對你的計算機系統進行破壞。
在現實生活中,Internet防火墻常常被安裝在受保護的內部網絡上并接入Internet。
從上圖不難看出,所有來自Internet的傳輸信息或你發出的信息都必須經過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統間進行信息交換等安全的作用。從邏輯上講,防火墻是起分隔、限制、分析的作用,這一點同樣可以從圖1中體會出來。那么,防火墻究竟是什么呢?實際上,防火墻是加強Internet(內部網)之間安全防御的一個或一組系統,它由一組硬件設備(包括路由器、服務器)及相應軟件構成。3.防火墻技術與產品發展的回顧
防火墻是網絡安全策略的有機組成部分,它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理。從總體上看,防火墻應該具有以下五大基本功能:●過濾進、出網絡的數據;
●管理進、出網絡的訪問行為;
●封堵某些禁止行為;
●記錄通過防火墻的信息內容和活動;
●對網絡攻擊進行檢測和告警。
為實現以上功能,在防火墻產品的開發中,人們廣泛地應用了網絡拓撲、計算機操作系統、路由、加密、訪問控制、安全審計等成熟或先進的技術和手段。縱觀防火墻近年來的發展,可以將其劃分為如下四個階段(即四代)。
3.1 基于路由器的防火墻
由于多數路由器本身就包含有分組過濾功能,故網絡訪問控制可能通過路控制來實現,從而使具有分組過濾功能的路由器成為第一代防火墻產品。第一代防火墻產品的特點是:
1)利用路由器本身對分組的解析,以訪問控制表(Access List)方式實現對分組的過濾;
2)過濾判斷的依據可以是:地址、端口號、IP旗標及其他網絡特征;
3)只有分組過濾的功能,且防火墻與路由器是一體的。這樣,對安全要求低的網絡可以采用路由器附帶防火墻功能的方法,而對安全性要求高的網絡則需要單獨利用一臺路由器作為防火墻。
●路由協議十分靈活,本身具有安全漏洞,外部網絡要探尋內部網絡十分容易。例如,在使用FTP協議時,外部服務器容易從20號端口上與內部網相連,即使在路由器上設置了過濾規則,內部網絡的20號端口仍可以由外部探尋。
●路由器上分組過濾規則的設置和配置存在安全隱患。對路由器中過濾規則的設置和配置十分復雜,它涉及到規則的邏輯一致性。作用端口的有效性和規則集的正確性,一般的網絡系統管理員難于勝任,加之一旦出現新的協議,管理員就得加上更多的規則去限制,這往往會帶來很多錯誤。
●路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網絡上是以明文方式傳送的,黑客(Hacker)可以在網絡上偽造假的路由信息欺騙防火墻。
●路由器防火墻的本質缺陷是:由于路由器的主要功能是為網絡訪問提供動態的、靈活的路由,而防火墻則要對訪問行為實施靜態的、固定的控制,這是一對難以調和的矛盾,防火墻的規則設置會大大降低路由器的性能。
可以說基于路由器的防火墻技術只是網絡安全的一種應急措施,用這種權宜之計去對付黑客的攻擊是十分危險的。
3.2 用戶化的防火墻工具套
為了彌補路由器防火墻的不足,很多大型用戶紛紛要求以專門開發的防火墻系統來保護自己的網絡,從而推動了用戶防火墻工具套的出現。
作為第二代防火墻產品,用戶化的防火墻工具套具有以下特征:
1)將過濾功能從路由器中獨立出來,并加上審計和告警功能;
2)針對用戶需求,提供模塊化的軟件包;
3)軟件可以通過網絡發送,用戶可以自己動手構造防火墻;
4)與第一代防火墻相比,安全性提高了,價格也降低了。
由于是純軟件產品,第二代防火墻產品無論在實現上還是在維護上都對系統管理員提出了相當復雜的要求,并帶來以下問題:
配置和維護過程復雜、費時;
對用戶的技術要求高;
全軟件實現,使用中出現差錯的情況很多。
3.3 建立在通用操作系統上的防火墻
基于軟件的防火墻在銷售、使用和維護上的問題迫使防火墻開發商很快推出了建立在通用操作系統上的商用防火墻產品。近年來市場上廣泛使用的就是這一代產品,它們具有如下一些特點:
1)是批量上市的專用防火墻產品;
2)包括分組過濾或者借用路由器的分組過濾功能;
3)裝有專用的代理系統,監控所有協議的數據和指令;
4)保護用戶編程空間和用戶可配置內核參數的設置;
5)安全性和速度大大提高。
第三代防火墻有以純軟件實現的,也有以硬件方式實現的,它們已經得到了廣大用戶的認同。但隨著安全需求的變化和使用時間的推延,仍表現出不少問題,比如:
1)作為基礎的操作系統及其內核往往不為防火墻管理者所知,由于源碼的保密,其安全性無從保證;
2)由于大多數防火墻廠商并非通用操作系統的廠商,通用操作系統廠商不會對操作系統的安全性負責;
3)從本質上看,第三代防火墻既要防止來自外部網絡的攻擊,還要防止來自操作系統廠商的攻擊;
4)在功能上包括了分組過濾、應用網關、電路級網關且具有加密鑒別功能;
5)透明性好,易于使用。
點擊咨詢 