第一篇:《網(wǎng)絡(luò)安全技術(shù)》課程介紹
《網(wǎng)絡(luò)安全技術(shù)》課程介紹
本課程是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)專業(yè)和信息安全專業(yè)的專業(yè)核心課,主要講述計(jì)算機(jī)網(wǎng)絡(luò)安全的相關(guān)內(nèi)容。課程特點(diǎn)采用理論與實(shí)踐相結(jié)合的方式對(duì)網(wǎng)絡(luò)安全相關(guān)知識(shí)做了深入淺出的介紹。
下面從以下幾方面介紹本門課程:
(1)教學(xué)目標(biāo)
通過本課程的學(xué)習(xí),要求學(xué)生從理論上了解網(wǎng)絡(luò)安全的現(xiàn)狀,熟悉常用加密算法、數(shù)字簽名技術(shù)、保密通信技術(shù)和計(jì)算機(jī)病毒的原理及基本的攻防技術(shù)。
從實(shí)踐角度看,學(xué)生學(xué)完本課程之后能夠?qū)χ鳈C(jī)進(jìn)行基本的安全配置、對(duì)Web服務(wù)器做基本的安全配置、掌握基本的攻防技術(shù)、掌握基本的VPN技術(shù)。
(2)本課程的教學(xué)覆蓋面
本課程的教學(xué)覆蓋范圍包括保密通信、主機(jī)安全、Web安全、黑客與病毒、VPN。其中重度點(diǎn)內(nèi)容包括:數(shù)字簽名、主機(jī)安全配置、基本的攻防技術(shù)。課程難點(diǎn)內(nèi)容包括:公鑰密碼的原理,web上SSL協(xié)議的實(shí)現(xiàn)。
(3)教學(xué)方法及組織形式
針對(duì)本門課程的特點(diǎn),本課主要采用理論教學(xué)與實(shí)訓(xùn)教學(xué)相結(jié)合的教學(xué)方法,理論課上應(yīng)用多媒體課件、動(dòng)畫及視頻等多種媒體手段生動(dòng)形象的描述有關(guān)知識(shí),實(shí)訓(xùn)課上以專門的實(shí)訓(xùn)系統(tǒng)和安全靶機(jī)為平臺(tái),針對(duì)不同實(shí)訓(xùn)特點(diǎn),采取分組實(shí)驗(yàn),讓學(xué)生真正接觸并掌握網(wǎng)絡(luò)安全的實(shí)踐技能。
(4)授課對(duì)象
本門課的授課對(duì)象主要是高職高專的學(xué)生,因此所講理論要求密切與實(shí)訓(xùn)結(jié)合。實(shí)訓(xùn)過程密切與生產(chǎn)結(jié)合。
(5)教材與參考資料
課程選用的教材是在吉林中軟吉大公司出品的《網(wǎng)絡(luò)綜合教學(xué)實(shí)訓(xùn)系統(tǒng)——網(wǎng)絡(luò)安全技術(shù)篇》基礎(chǔ)上改編的校內(nèi)教材,參考的文獻(xiàn)主要包括清華大學(xué)出版的《計(jì)算機(jī)網(wǎng)絡(luò)安全》、人民郵電出版的《計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)》等教材、中國(guó)知網(wǎng)等知名數(shù)據(jù)庫中的論文,以及網(wǎng)上的一些相關(guān)資料。
第二篇:網(wǎng)絡(luò)安全技術(shù)課程論文
《網(wǎng)絡(luò)安全技術(shù)》課程論文
題
目:
網(wǎng)絡(luò)黑客 院
(部):
商學(xué)院 專
業(yè):
電子商務(wù) 班
級(jí):
姓
名:
學(xué)
號(hào):
指導(dǎo)教師:
完成日期:
網(wǎng) 絡(luò) 黑 客
摘要:隨著網(wǎng)絡(luò)在人們生活與工作的各方面使用的日益普遍,網(wǎng)絡(luò)安全問題已經(jīng)成為一 個(gè)被人們強(qiáng)烈關(guān)注的熱點(diǎn)。而其中黑客攻擊所造成的安全問題是很重要的一個(gè)方面。本文將介紹有關(guān)黑客使用的手段,造成的威脅與應(yīng)對(duì)的方法。隨著網(wǎng)絡(luò)在人們生活與工作的各方面使用的日益普遍,網(wǎng)絡(luò)安全問題已經(jīng)成為一 個(gè)被人們強(qiáng)烈關(guān)注的熱點(diǎn)。而其中黑客攻擊所造成的安全問題是很重要的一個(gè)方面。本文將介紹有關(guān)黑客使用的手段,造成的威脅與應(yīng)對(duì)的方法。關(guān)鍵詞:網(wǎng)絡(luò)安全,黑客技術(shù),黑客,病毒,防火墻。
一、網(wǎng)絡(luò)安全的定義
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全包含網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)軟件安全。從廣義來說,凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。
二、黑客技術(shù)
2.1定義
黑客是英文“Hacker”的英文譯音,它起源于美國(guó)麻省理工學(xué)院的計(jì)算機(jī)實(shí)驗(yàn)室中。早期黑客只是利用自己的智慧和特殊的技術(shù),揭露軟件和網(wǎng)絡(luò)系統(tǒng)中的漏洞,以便讓制造商和網(wǎng)絡(luò)管理人員及時(shí)修補(bǔ)。然而,當(dāng)互聯(lián)網(wǎng)以遠(yuǎn)比人們預(yù)料快的多的速度發(fā)展的時(shí)候,黑客原有的“揭露漏洞,不進(jìn) 行破壞,幫助完善系統(tǒng)”的信條已發(fā)生了變異,現(xiàn)代的黑客已經(jīng)分化為三類,一是初級(jí)黑客, 這些人一般沒有特殊的企圖,只是出于好奇心,追求刺激,試探性地對(duì)網(wǎng)絡(luò)進(jìn)行攻擊;二是 高水平黑客,這些人出于利益的驅(qū)動(dòng),為達(dá)到一定的目的,有針對(duì)性地對(duì)網(wǎng)絡(luò)進(jìn)行攻擊;三 是職業(yè)黑客,這些人其本身可能就是恐怖分子,經(jīng)濟(jì)或政治間諜等,由于他們的水平極高, 攻擊具有很大的隱蔽性,因而造成的損失也最大。總之,從發(fā)展趨勢(shì)看,黑客正在不斷地走向系統(tǒng)化,組織化和年輕化。
2.2中國(guó)黑客的現(xiàn)狀
如今國(guó)內(nèi)黑客站點(diǎn)門派繁多,但整體素質(zhì)不如人意,有的甚至低劣。主要體現(xiàn)在以下幾點(diǎn):(1)叫法不一,很不正規(guī)。(2)技術(shù)功底薄弱,夸大作風(fēng)。
(3)內(nèi)容粗制濫造,應(yīng)付了事,原創(chuàng)作品少,且相互抄襲。曾有某篇文章說,中國(guó)的黑客一代不如一代。
(4)效率低,更新少,可讀性差,界面雜亂。有些站點(diǎn)很少更新,死鏈接,打不開,站點(diǎn)雜亂,經(jīng)常有死鏈接,作品抄襲。
(5)整體技術(shù)水平不高,研究層次級(jí)別低。(6)缺少一個(gè)統(tǒng)一協(xié)調(diào)中國(guó)黑客界行動(dòng)發(fā)展的組織。2.3黑客的危害
由于成為黑客并實(shí)施黑客攻擊越來越容易,因此黑客攻擊的事件越來越多,造成的危害也就越來越嚴(yán)重,歸納起來,主要有以下幾種: 2.31 充當(dāng)政治工具
近年來,黑客活動(dòng)開始染上政治色彩,用非法入侵到國(guó)防,政府等一些機(jī)密信息系統(tǒng),盜取國(guó)家的軍 事和政治情報(bào)等做法危害國(guó)家安全。
2.32 用于戰(zhàn)爭(zhēng)
通過網(wǎng)絡(luò),利用黑客手段侵入敵方信息系統(tǒng),獲取軍事信息,發(fā)布假信息,病毒,擾亂對(duì) 方系統(tǒng)等等。
2.33非法侵入他人的系統(tǒng),獲取個(gè)人隱私獲得信息以便利用其進(jìn)行敲詐,勒索或損害他人的名譽(yù),炸毀電子郵箱,使系統(tǒng)癱瘓等。
三、黑客的攻擊原理
3.1 拒絕服務(wù)攻擊。拒絕服務(wù)攻擊是一種利用 TCP/IP 協(xié)議的弱點(diǎn)和系統(tǒng)存在的漏洞,對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊的行為。它以消耗網(wǎng)絡(luò)帶寬和系統(tǒng)資源為目的,對(duì)網(wǎng)絡(luò)服務(wù)器發(fā)送大量“請(qǐng)求”信息,造成網(wǎng)絡(luò)或服務(wù)器系統(tǒng)不堪重負(fù),致使系統(tǒng)癱瘓而無法提供正常的網(wǎng)絡(luò)服務(wù)。
3.2 惡意程序攻擊
利用一些特殊的數(shù)據(jù)包傳送給目標(biāo)主機(jī),使其做出相對(duì)應(yīng)的響應(yīng),由于每種操作系統(tǒng)的響應(yīng)時(shí)間和方式都是不一樣的,黑客利用這種特征把得到的結(jié)果與準(zhǔn)備好的數(shù)據(jù)庫中的資料相對(duì)照,從中便可輕而易舉地判斷出目標(biāo)主機(jī)操作系統(tǒng)所用的版本及其他相關(guān)信息, 尤其是對(duì)于某些系統(tǒng),互聯(lián)網(wǎng)上已發(fā)布了其安全漏洞所在,但用戶由于不懂或一時(shí)疏忽未下載并安裝網(wǎng)上發(fā)布 的該系統(tǒng)的“補(bǔ)丁”程序,那么黑客就可以自己編寫一段程序進(jìn)入到該系統(tǒng)進(jìn)行破壞.還有一些黑客準(zhǔn)備了后門程序, 即進(jìn)入到目標(biāo)系統(tǒng)后為方便下一次入侵而安裝在被攻擊計(jì)算機(jī)系統(tǒng) 內(nèi)的一些程序,為該計(jì)算機(jī)埋下了無窮無盡的隱患,給用戶造成了不可預(yù)測(cè)的損失。
3.3 欺騙攻擊
每一臺(tái)計(jì)算機(jī)都有一個(gè)IP 地址,登錄時(shí)服務(wù)器可以根據(jù)這個(gè)IP 地址來判斷來訪者的身份。TCP/IP 協(xié)議是用 IP 地址來作為網(wǎng)絡(luò)節(jié)點(diǎn)的惟一標(biāo)識(shí),因此攻擊者可以在一定范圍內(nèi)直接修改節(jié)點(diǎn)的 IP地 3
址,冒充某個(gè)可信節(jié)點(diǎn)的IP地址進(jìn)行攻擊,欺騙攻擊就是一種利用假IP 地址騙取服務(wù)器的信任,實(shí)現(xiàn)非法登錄的入侵方法。
3.4 對(duì)用戶名和密碼進(jìn)行攻擊。此種攻擊方式大致分為三種情況,一是對(duì)源代碼的攻擊,對(duì)于網(wǎng)站來說,由于ASP的方便易用,越來越多的網(wǎng)站后臺(tái)程序都使用ASP腳本語言。但是,由于ASP本身存在一些 安全漏洞,稍不小心就會(huì)給黑客提供可乘之機(jī)。第二種攻擊的方法就是監(jiān)聽,用戶輸入的密碼需要從用戶端傳送到服務(wù)器端進(jìn)行系統(tǒng)對(duì)其的校驗(yàn),黑客能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽。一般系統(tǒng)在傳送密碼時(shí)都進(jìn)行了加密處理, 即黑客所得到的數(shù)據(jù)中不會(huì)存在明文的密碼, 因此, 這種手法一般運(yùn)用于局域網(wǎng),一旦成功,攻擊者將會(huì)得到很大的操作權(quán)益。第三是解密,就是使用窮舉法對(duì)已知用戶名的密碼進(jìn)行解密。這種解密軟件對(duì)嘗試所有可能字符所組成的密碼。這種方法十分耗時(shí),但在密碼設(shè)置簡(jiǎn)單的情況下卻比較容易得手。
四、防范措施
4.1提高安全意識(shí)
(1)不要隨意打開來歷不明的電子郵件及文件,不要隨便運(yùn)行不太了解的人給你的程序,比如“特洛伊”類黑客程序就需要騙你運(yùn)行。
(2)避免從Internet下載不知名的軟件、游戲程序。即使從知名的網(wǎng)站下載的軟件也要及時(shí)用最新的病毒和木馬查殺軟件對(duì)軟件和系統(tǒng)進(jìn)行掃描。
(3)密碼設(shè)置盡可能使用字母數(shù)字混排,單純的英文或者數(shù)字很容易窮舉。將常用的密碼設(shè)置為不同,防止被人查出一個(gè),連帶到重要密碼。重要密碼最好經(jīng)常更換。
(4)及時(shí)下載安裝系統(tǒng)補(bǔ)丁程序。
(5)不隨便運(yùn)行黑客程序,不少這類程序運(yùn)行時(shí)會(huì)發(fā)出你的個(gè)人信息。
(6)在支持HTML的BBS上,如發(fā)現(xiàn)提交警告,先看源代碼,很可能是騙取密碼的陷阱。
4.2 使用防毒、防黑等防火墻軟件
(1)防火墻是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障,也可稱之為控制進(jìn)/出兩個(gè)方向通信的門檻。在網(wǎng)絡(luò)邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò),以阻檔外部網(wǎng)絡(luò)的侵入。
(2)防火墻的主要功能包括
1)、檢查所有從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包;
2)、檢查所有從內(nèi)部網(wǎng)絡(luò)流出到外部網(wǎng)絡(luò)的數(shù)據(jù)包。
3)、執(zhí)行安全策略,限制所有不符合安全策略要求的數(shù)據(jù)包通過。
4)、具有防攻擊能力,保證自身的安全性的能力。(3)防火墻具有以下優(yōu)點(diǎn):
1)、防火墻對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)了集中地安全管理,可以強(qiáng)化網(wǎng)絡(luò)安全策略,比分散的主機(jī)管理更經(jīng)濟(jì)易行。2)、防火墻能防止非授權(quán)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。3)、防火墻可以方便地監(jiān)視網(wǎng)絡(luò)安全性并報(bào)警。
4)、可以作為部署網(wǎng)絡(luò)地址轉(zhuǎn)換的地點(diǎn),利用NAT技術(shù),可以緩解地址空間的短缺,隱藏內(nèi)部網(wǎng)的結(jié)構(gòu)。
5)、由于所有的訪問都經(jīng)過防火墻,防火墻是審計(jì)和記錄網(wǎng)絡(luò)訪問和使用的最佳地方。
五、越來越不對(duì)稱的威脅
Internet上的安全是相互依賴的。每個(gè)Internet系統(tǒng)遭受攻擊的可能性取決于連接到全球Internet上的其他系統(tǒng)的安全狀態(tài)。由于攻擊技術(shù)的進(jìn)步,一個(gè)攻擊者可以比較容易地利用分布式系統(tǒng),對(duì)一個(gè)受害者發(fā)動(dòng)破壞性的攻擊。隨著部署自動(dòng)化程度和攻擊工具管理技巧的提高,威脅的不對(duì)稱性將繼續(xù)增加。
總結(jié)
互聯(lián)網(wǎng)開辟了一個(gè)新的世界,它的出現(xiàn)和發(fā)展如此之快,遠(yuǎn)遠(yuǎn)超出了專家的預(yù)測(cè),由于互聯(lián)網(wǎng)的開放性,隨意性,虛擬性,方便性在給人類提供了資源共享的有利條件和新的通信方式,給人們帶來了一個(gè)新的創(chuàng)造,展示和實(shí)現(xiàn)自我的虛擬世界,也帶來了負(fù)面影響。人們經(jīng)常使用的操作系統(tǒng)和互聯(lián)網(wǎng)的 TCP/IP 協(xié)議有著許多安全漏洞,使得黑客攻擊互聯(lián)網(wǎng)成為 可能.當(dāng)然,黑客攻擊事件的增多,破壞性增大,有系統(tǒng)本身不安全的因素,安全技術(shù)滯后 的因素,但同時(shí),人的因素不容忽視。應(yīng)該讓所有網(wǎng)民知道互聯(lián)網(wǎng)是不安全的,使網(wǎng)民建立 起安全防范意識(shí),并且使其懂得保護(hù)安全,防范黑客和病毒的最基本方法,比如怎樣設(shè)置一個(gè)相對(duì)安全的密碼,怎樣利用大眾軟件中一些安全設(shè)置,像 windows,outlook 等,怎樣防范病毒以及使用殺毒軟件等等,不要讓那些因?yàn)榫W(wǎng)民對(duì)安全的無知和不警惕,但實(shí)際非常容 易避免的不安全事件發(fā)生。拒絕黑客,保障互聯(lián)網(wǎng)的安全,需要定完善的安全管理機(jī)制和管理制度對(duì)黑客的犯罪的嚴(yán)厲打擊。
參考文獻(xiàn)
[1] 蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù).中國(guó)水利水電出版社,第二版
[2] 孫華國(guó).淺析網(wǎng)絡(luò)黑客.中國(guó)科技信息報(bào),2005
[3] Jerry Lee Ford Z.個(gè)人防火墻.人民郵電出版社,2002
[4]余建斌.黑客的攻擊手段及用戶對(duì)策.北京人民郵電出版社,1998
第三篇:《網(wǎng)絡(luò)安全技術(shù)》課程總結(jié)報(bào)告
《網(wǎng)絡(luò)安全技術(shù)》
課程總結(jié)報(bào)告
學(xué)校名稱 班級(jí)學(xué)號(hào) 姓名
20XX年X月
文件安全傳輸
計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展引發(fā)了人們對(duì)網(wǎng)絡(luò)安全的重視,信息安全的目標(biāo)在于保證信息的保密性、完整性、可靠性、可用性和不可否認(rèn)性。網(wǎng)絡(luò)漏洞是系統(tǒng)軟、硬件存在安全方面的脆弱性。安全漏洞的存在導(dǎo)致非法用戶入侵系統(tǒng)或未經(jīng)授權(quán)獲得訪問權(quán)限,造成信息篡改和泄露、拒絕服務(wù)或系統(tǒng)崩潰等問題。
文件安全傳輸方案:
2.1 方案要求
1.熟悉安全通信中常用的加密算法; 2.熟悉數(shù)字簽名過程;
3.實(shí)現(xiàn)文件傳輸信息的保密性、完整性和不可否認(rèn)性。
2.2 主要儀器名稱
1.Windows 2000/XP計(jì)算機(jī)兩臺(tái)。2.CIS工具箱。
2.3 方案內(nèi)容
1.將任意兩臺(tái)主機(jī)作為一組,記為發(fā)送方——終端A和接收方——終端B。使用“快照X”恢復(fù)Windows系統(tǒng)環(huán)境。
2.終端A操作:
1)與終端B預(yù)先協(xié)商好通信過程中所使用的對(duì)稱加密算法,非對(duì)稱加密算法和哈希函數(shù);
2)采用對(duì)稱加密算法(密鑰稱之為回話密鑰)對(duì)傳輸信息進(jìn)行加密文,確保傳輸信息的保密性;
64位密碼:c080400414 明文:hello world!密文:{115097728,-1527542226,315982460,167601359}
3)使用終端B的公鑰對(duì)回話密鑰進(jìn)行加密,確保傳輸信息的保密性以及信息接收方的不可否認(rèn)性;
接收方RSA公鑰(e,n):(101,143)DES密碼密文:{99,81,23,81,52,81,81,52} 4)采用哈希函數(shù)(生成文件摘要)確保傳輸信息的完整性,并使自己的私鑰對(duì)文件摘要進(jìn)行簽名(得到數(shù)字簽名),確保信息發(fā)送方的不可否認(rèn)性;
獲取摘要:{3468fb8a6340be53d2cf10fb2defof5b} 數(shù)字簽名:
{1130,582,1833,4,1991,1002,582,750,1002,1130,1465,1991,1130,500,500,1238,1002,750,500,538,1238,153,1833,500,4,85,1204,1130,750,4,538,1465} RSA私鑰(d,n):(101,143)5)將密文加密后的會(huì)話密鑰和數(shù)字簽名打包封裝(放在一起)后,通過網(wǎng)絡(luò)傳輸給終端B。
3.終端B操作:
1)與終端A預(yù)先協(xié)商好通信過程中所使用到的對(duì)稱加密算法;
2)使用自己的私鑰對(duì)終端A加密的會(huì)話密鑰進(jìn)行解密,得到準(zhǔn)會(huì)話密鑰; 3)使用準(zhǔn)會(huì)話密鑰對(duì)得到的密文進(jìn)行解密得到準(zhǔn)明文;
4)使用終端A的公鑰對(duì)得到的數(shù)字簽名進(jìn)行解密,得到準(zhǔn)明文摘要; 5)使用哈希函數(shù)計(jì)算得到準(zhǔn)明文摘要;
6)將計(jì)算得到的摘要與準(zhǔn)明文摘要進(jìn)行比較,若相同則表明文件安全傳輸成功。
接收方:
使用自己的私鑰101對(duì)發(fā)送方加密的會(huì)話密鑰進(jìn)行解密的c0804004 使用密鑰c0804004對(duì)密文進(jìn)行解密,得到hello word!
使用發(fā)送方的公鑰(1411,2041)對(duì)得到的數(shù)字簽名進(jìn)行解密,得到準(zhǔn)明文摘要
使用哈希函數(shù)計(jì)算得準(zhǔn)明文摘要{3468fb8a6340be53d2cf10fb2defof5b} 將計(jì)算得到的摘要與準(zhǔn)明文摘要進(jìn)行比較,發(fā)現(xiàn)相同說明文件安全傳輸成功
2.4 對(duì)文件使用非對(duì)稱加密算法直接加密的可行性
不可行。非對(duì)稱加密算法安全性依賴于算法與密鑰,其中用于消息解密的密鑰值與用于消息加密的密鑰值不同,但是由于其算法復(fù)雜,并且待加密的文件或信息一般較長(zhǎng),使得加密解密速度比對(duì)稱加密解密的速度慢數(shù)千倍。
而AES對(duì)稱機(jī)密算法是高級(jí)加密標(biāo)準(zhǔn),速度快并且安全級(jí)別高,更適用于大量數(shù)據(jù)的加密場(chǎng)合。不過因?yàn)榉菍?duì)稱加密算法通常有兩個(gè)密鑰,其中“公鑰”可以對(duì)外公布,“私鑰”則只能由持有人一個(gè)人知道,兩者必須配對(duì)使用,否則不能打開加密文件。因而表現(xiàn)出非對(duì)稱加密算法的優(yōu)越性,對(duì)稱式的加密方法如果是在網(wǎng)絡(luò)上傳輸加密文件就很難把密鑰告知對(duì)方,不管用什么方法都有可能被竊聽到;這時(shí)用非對(duì)稱的方式對(duì)密鑰再做一次加密,收件人解密是只要用自己的私鑰就可以,這樣能很好地避免密鑰的傳輸安全性問題。所以一般經(jīng)常用其加密對(duì)稱加密算法所使用過的密鑰。防火墻技術(shù)
網(wǎng)絡(luò)掃描通過選用遠(yuǎn)程TCP/IP不同端口的服務(wù),并記錄目標(biāo)給予的回答,可以搜集到很多關(guān)于目標(biāo)網(wǎng)絡(luò)的有用信息,如系統(tǒng)開放的端口、提供的服務(wù)、服務(wù)進(jìn)程守護(hù)程序的版本號(hào)、操作系統(tǒng)類型、操作系統(tǒng)的版本、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、防火墻規(guī)則和闖入察覺裝置等。下面闡述端口掃描和遠(yuǎn)程操作系統(tǒng)掃描的主要技術(shù)。
實(shí)驗(yàn)?zāi)康模?/p>
1.了解防火墻的含義與作用 2.學(xué)習(xí)防火墻的基本配置方法
主要儀器名稱:
1.Windows 2003系統(tǒng)防火墻 2.Udptools-udp連接工具
實(shí)驗(yàn)原理:
1.防火墻基礎(chǔ)操作:
操作概述,啟用windows 2003系統(tǒng)防火墻,設(shè)置規(guī)則阻斷icmp回顯請(qǐng)求數(shù)據(jù)包,并驗(yàn)證對(duì)UDP工具的里外操作
在啟用windows 2003系統(tǒng)防火墻之前,同組主機(jī)通過ping指令相互測(cè)試網(wǎng)絡(luò)連通性確保相互連通的,若測(cè)試未通過先排除故障
2.本機(jī)啟用防火墻,并設(shè)置防火墻對(duì)本地連接,進(jìn)行操作 3.同組主機(jī)通過ping之戀互相測(cè)試網(wǎng)絡(luò)連通性,確保相互連通 4.設(shè)置本級(jí)防火墻允許其傳入icmp回顯請(qǐng)求 5.第三次測(cè)試網(wǎng)絡(luò)連通性
2.1 NAT服務(wù)器正常運(yùn)行的檢測(cè)
傳輸控制協(xié)議TCP和用戶數(shù)據(jù)報(bào)協(xié)議UDP,分別為應(yīng)用層提供可靠的面向連接的服務(wù)和無連接服務(wù)。其中,UDP協(xié)議相對(duì)比較簡(jiǎn)單。
啟用Windows2003系統(tǒng)防火墻,設(shè)置規(guī)則阻斷ICMP回顯請(qǐng)求數(shù)據(jù)包,并驗(yàn)證針對(duì)UDP連接工具的例外操作。
1.在啟用防火墻之前,同組主機(jī)通過ping指令互相測(cè)試網(wǎng)絡(luò)連通性,確保相互是聯(lián)通的。若測(cè)試未通過則需要清楚故障;
2.本機(jī)啟用防火墻,并設(shè)置防火墻僅對(duì)“本地連接”保護(hù);
3.同組主機(jī)通過ping指令互相測(cè)試網(wǎng)絡(luò)連通性,確認(rèn)是否相互連通; 回答:沒有連接,測(cè)試超時(shí)。
4.設(shè)置本機(jī)防火墻允許其傳入icmp回顯請(qǐng)求; 5.第n詞測(cè)試網(wǎng)絡(luò)連通性。回答:測(cè)試連接成功。
2.2 NAT服務(wù)器——防火墻(Network Address Translation)NAT是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址,而當(dāng)內(nèi)部借點(diǎn)要與外部網(wǎng)絡(luò)進(jìn)行通訊時(shí),就在網(wǎng)關(guān)處,將內(nèi)部地址替換成公用地址,從而在外部公網(wǎng)上正常使用。
NAT服務(wù)器的網(wǎng)絡(luò)地址轉(zhuǎn)換
1.客戶機(jī)將數(shù)據(jù)包發(fā)給運(yùn)行NAT的計(jì)算機(jī);
2.NAT將數(shù)據(jù)包中的端口號(hào)和專用的IP地址換為自己的端口號(hào)和公用的IP地址,然后將數(shù)據(jù)包發(fā)給外部網(wǎng)絡(luò)的目的主機(jī),同時(shí)記錄一個(gè)跟蹤信息在映像表中,以便向客戶機(jī)發(fā)送回答信息;
3.外部網(wǎng)絡(luò)發(fā)送回答信息給NAT;
4.NAT將所收到的數(shù)據(jù)包的端口號(hào)和公用IP地址轉(zhuǎn)換為客戶機(jī)的端口號(hào)和內(nèi)部網(wǎng)絡(luò)使用的專用IP地址并轉(zhuǎn)發(fā)給客戶機(jī);
5.NAT服務(wù)器可使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)無法直接訪問,而要通過它的轉(zhuǎn)換,將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離開來,因此NAT服務(wù)器可起到防火墻的作用。入侵檢測(cè)技術(shù) Snort是一個(gè)強(qiáng)大的輕量級(jí)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),它具有實(shí)時(shí)數(shù)據(jù)流量分析和記錄IP網(wǎng)絡(luò)數(shù)據(jù)包功能,能夠進(jìn)行協(xié)議分析,對(duì)網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容進(jìn)行協(xié)議分析,對(duì)網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容進(jìn)行搜索/匹配,他能夠檢測(cè)各種不同的攻擊方式,對(duì)攻擊進(jìn)行實(shí)時(shí)報(bào)警,此外,Snort是開放源的入侵檢測(cè)系統(tǒng),并且有很好的擴(kuò)展性和可移植性。
3.1 嗅探器
嗅探器模式是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的流顯示在終端上。
1.啟動(dòng)Snort,進(jìn)入實(shí)驗(yàn)平臺(tái),單擊工具欄:“控制臺(tái)”按鈕,進(jìn)入IDS工作目錄,運(yùn)行Snort對(duì)網(wǎng)絡(luò)etho進(jìn)行監(jiān)聽。并遵循以下要求:
1)僅捕獲同組主機(jī)發(fā)出的icmp回顯請(qǐng)求數(shù)據(jù)包; 2)利用詳細(xì)模式在終端顯示數(shù)據(jù)鏈路層,應(yīng)用層信息; 3)對(duì)捕獲的信息進(jìn)行日志記錄。
Snort命令:Snort-i etho-deo icmp and src net 172.16.0.37-l/var/log/Snort 2.查看Snort日志記錄 Snort數(shù)據(jù)包記錄
1)對(duì)網(wǎng)絡(luò)接口etho進(jìn)行監(jiān)聽,僅捕獲同組主機(jī)發(fā)出的Telent請(qǐng)求數(shù)據(jù)包,并將捕獲數(shù)據(jù)包以二進(jìn)制方式進(jìn)行,存儲(chǔ)到日志文件中;
2)當(dāng)前主機(jī)執(zhí)行上述命令,同組主機(jī)Telent遠(yuǎn)程登錄當(dāng)前主機(jī); 3)停止Snort,捕獲讀取Snort.log文件,查看數(shù)據(jù)包內(nèi)容。
3.2 數(shù)據(jù)包記錄器
數(shù)據(jù)包記錄器模式是把數(shù)據(jù)包記錄到硬盤上。
1.對(duì)網(wǎng)絡(luò)接口etho進(jìn)行監(jiān)聽,僅捕獲同組主機(jī)發(fā)出的telnet請(qǐng)求數(shù)據(jù)包并將捕獲數(shù)據(jù)包以二進(jìn)制方式進(jìn)行存儲(chǔ)到日志文件中。
Snort命令:Snort-i etho-b top and src net 172.16.0.37 and dst port 23 2.當(dāng)前主機(jī)執(zhí)行上述命令,同組主機(jī)telnet遠(yuǎn)程登錄到當(dāng)前主機(jī)。3.停止Snort捕獲,讀取Snort.log文件,查看數(shù)據(jù)包內(nèi)容。Snort命令:Snort-r/var/log/Snort/Snort.log.1304385940
3.3 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) 網(wǎng)路入侵檢測(cè)模式是最復(fù)雜的,而且是可配置的。可以讓snort分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些規(guī)則,并根據(jù)檢測(cè)結(jié)果采取一定的動(dòng)作。
1.在Snort規(guī)則集目錄/opt/ids/rules下新建Snort規(guī)則集文件new.rules,對(duì)來自外部主機(jī)的目標(biāo)為當(dāng)前主機(jī)80/tcp端口的請(qǐng)求數(shù)據(jù)包進(jìn)行報(bào)警。報(bào)警消息自定義,Snort規(guī)則alert tcp!172.16.0.39 any→172.16.0.39 80 2.編輯Snort.conf配置文件,使其包含new.rules規(guī)則集文件,具體操作如下:使用Vim編輯器打開Snort.conf,切至編輯模式,在最后添加新行包含規(guī)則集文件new.rules。添加包涵new.rules規(guī)則集文件語句Include $RULE-PATH/new.rules 3.以入侵檢測(cè)方式啟動(dòng)Snort,進(jìn)行監(jiān)聽
啟動(dòng)命令:/Snort-c Snort conf。以入侵檢測(cè)公事啟動(dòng)Snort,同組主機(jī)訪問當(dāng)前主機(jī)Web服務(wù)。病毒攻防技術(shù)
實(shí)驗(yàn)?zāi)康模?/p>
1.了解腳本病毒的工作原理
2.了解腳本病毒常見的感染目標(biāo)和感染方式 3.掌控編寫腳本病毒專殺工具的一般方法
主要儀器名稱:
Windows腳本安全wsh 能夠解釋執(zhí)行VBS和JS文件
4.1 簡(jiǎn)介
腳本程序的執(zhí)行環(huán)境需要WSH環(huán)境,WSH為宿主腳本創(chuàng)建環(huán)境。即當(dāng)腳本到達(dá)計(jì)算機(jī)時(shí),WSH充當(dāng)主機(jī)的不分,它使對(duì)象和服務(wù)可用于腳本,并提供一系列腳本執(zhí)行指南。
4.2 腳本病毒的主要特征
1. 由于腳本是直接執(zhí)行,可以直接通過自我復(fù)制的方式傳染其他同類文件,并且使異常處理變得非常容易; 2. 腳本病毒通過HTML文檔,Email附件或其它方式,可以在很短的時(shí)間內(nèi)傳遍世界各地;
3. 新型的郵件病毒,郵件正文即為病毒,用戶接收到帶毒文件后,即使不將郵件打開,只要將鼠標(biāo)指向郵件,通過預(yù)覽功能被激活;
4. 病毒源碼容易被獲取,變種多; 5. 欺騙性強(qiáng)。
4.3 腳本病毒的查殺方法
1.卸載Windows Scriping Host;
2.禁用文件系統(tǒng)對(duì)象FileSystem()bject;
3.在Windows目錄中或任務(wù)管理器進(jìn)程里,找到WScript.exe更改名稱,結(jié)束進(jìn)程或刪除,如右圖;
4.設(shè)置瀏覽器;
5.禁止OE自動(dòng)收發(fā)郵件功能; 6.進(jìn)入注冊(cè)表編輯器,找到注冊(cè)表項(xiàng):HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionrunMSKernel32,將其刪除,如下圖;
7.設(shè)計(jì)腳本病毒專殺工具查殺病毒,如下圖。
第四篇:計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)課程論文
淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)
學(xué)號(hào)******姓名 ** .1摘要:隨著計(jì)算機(jī)網(wǎng)絡(luò)在人類生活領(lǐng)域中的廣泛應(yīng)用,針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的攻擊事件也隨之增加。網(wǎng)絡(luò)已經(jīng)無所不在的影響著社會(huì)的政治、經(jīng)濟(jì)、文化、軍事、意識(shí)形態(tài)和社會(huì)生活等各個(gè)方面。同時(shí)在全球范圍內(nèi),針對(duì)重要信息資源和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的入侵行為和企圖入侵行為的數(shù)量仍在持續(xù)不斷增加,網(wǎng)絡(luò)攻擊與入侵行為對(duì)國(guó)家安全、經(jīng)濟(jì)和社會(huì)生活造成了極大的威脅。諸如此類的事件已給政府及企業(yè)造成了巨大的損失,甚至危害到國(guó)家的安全。網(wǎng)絡(luò)安全已成為世界各國(guó)當(dāng)今共同關(guān)注的焦點(diǎn),網(wǎng)絡(luò)安全的重要性是不言而喻的,因此,對(duì)漏洞的了解及防范也相對(duì)重要起來。在我的這篇論文里,將綜合概括計(jì)算機(jī)網(wǎng)絡(luò)安全來源,計(jì)算機(jī)通信網(wǎng)絡(luò)安全的客觀因素,以及應(yīng)對(duì)計(jì)算機(jī)通信網(wǎng)絡(luò)安全的基本策略。
關(guān)鍵詞 :網(wǎng)絡(luò)安全的來源 /計(jì)算機(jī)網(wǎng)絡(luò)安全/ 防護(hù)技術(shù)
.2引言
隨著信息時(shí)代的加速到來,人們對(duì)因特網(wǎng)的依賴也越來越強(qiáng),網(wǎng)絡(luò)已成為人們生活中不可缺少的一部分。計(jì)算機(jī)網(wǎng)絡(luò)在為人們提供便利、帶來效益的同時(shí),也使人類面臨著信息安全的巨大挑戰(zhàn)。
組織和單位的計(jì)算機(jī)網(wǎng)絡(luò)是黑客攻擊的主要目標(biāo)。如果黑客組織能攻破組織及單位的計(jì)算機(jī)網(wǎng)絡(luò)防御系統(tǒng),他就有訪問成千上萬計(jì)算機(jī)的可能性。據(jù)統(tǒng)計(jì),近年來因網(wǎng)絡(luò)安全事故造成的損失每年高達(dá)上千億美元。計(jì)算機(jī)系統(tǒng)的脆弱性已為各國(guó)政府與機(jī)構(gòu)所認(rèn)識(shí),因此對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全的建立與防護(hù)得到各國(guó)的極度關(guān)注。建立安全的全球性安全網(wǎng)絡(luò)是件迫不及待的任務(wù),各國(guó)人們都在此投入大量人力,物力,財(cái)力來確保計(jì)算機(jī)網(wǎng)絡(luò)安全。
.3影響計(jì)算機(jī)通信網(wǎng)絡(luò)安全的因素分析
3.1影響計(jì)算機(jī)通信網(wǎng)絡(luò)安全的客觀因素。
3.1.1 網(wǎng)絡(luò)資源的共享性。計(jì)算機(jī)網(wǎng)絡(luò)最主要的一個(gè)功能就是“資源共享”。無論你是在天涯海角,還是遠(yuǎn)在天邊,只要有網(wǎng)絡(luò),就能找到你所需要的信息。所以,資源共享的確為我們提供了很大的便利,但這為系統(tǒng)安全的攻擊者利用共享的資源進(jìn)行破壞也提供了機(jī)會(huì)。
3.1.2
網(wǎng)絡(luò)操作系統(tǒng)的漏洞。操作系統(tǒng)漏洞是指計(jì)算機(jī)操作系統(tǒng)本身所存在的問題或技術(shù)缺陷。由于網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的復(fù)雜性,決定了操作系統(tǒng)必然存在各種的缺陷和漏洞。
3.1.3網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)的缺陷。網(wǎng)絡(luò)設(shè)計(jì)是指拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)和各種網(wǎng)絡(luò)設(shè)備的選擇等。網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)操作系統(tǒng)等都會(huì)直接帶來安全隱患。
3.1.4網(wǎng)絡(luò)的開放性。網(wǎng)上的任何一個(gè)用戶很方便訪問互聯(lián)網(wǎng)上的信息資源,從而很容易獲取到一個(gè)企業(yè)、單位以及個(gè)人的信息。
3.1.5惡意攻擊。惡意攻擊就是人們常見的黑客攻擊及網(wǎng)絡(luò)病毒.是最難防范的網(wǎng)絡(luò)安全威脅。隨著電腦教育的大眾化,這類攻擊也越來越多,影響越來越大。無論是DOS 攻擊還是DDOS 攻擊,簡(jiǎn)單的看,都只是一種破壞網(wǎng)絡(luò)服務(wù)的黑客方式,雖然具體的實(shí)現(xiàn)方式千變?nèi)f化,但都有一個(gè)共同點(diǎn),就是其根本目的是使受害主機(jī)或網(wǎng)絡(luò)無法及時(shí)接收并處理外界請(qǐng)求,或無法及時(shí)回應(yīng)外界請(qǐng)求。具體表現(xiàn)方式有以下幾種:(1)制造大流量無用數(shù)據(jù),造成通往被攻擊主機(jī)的網(wǎng)絡(luò)擁塞,使被攻擊主機(jī)無法正常和外界通信。(2)利用被攻擊主機(jī)提供服務(wù)或傳輸協(xié)議上處理重復(fù)連接的缺陷,反復(fù)高頻的發(fā)出攻擊性的重復(fù)服務(wù)請(qǐng)求,使被攻擊主機(jī)無法及時(shí)處理其它正常的請(qǐng)求。(3)利用被攻擊主機(jī)所提供服務(wù)程序或傳輸協(xié)議的本身實(shí)現(xiàn)缺陷,反復(fù)發(fā)送畸形的攻擊數(shù)據(jù)引發(fā)系統(tǒng)錯(cuò)誤而分配大量系統(tǒng)資源,使主機(jī)處于掛起狀態(tài)甚至死機(jī)。
DOS 攻擊幾乎是從互聯(lián)網(wǎng)絡(luò)的誕生以來,就伴隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展而一直存在也不斷發(fā)展和升級(jí)。值得一提的是,要找DOS 的工具一點(diǎn)不難,黑客網(wǎng)絡(luò)社區(qū)都有共享黑客軟件的傳統(tǒng),并會(huì)在一起交流攻擊的心得經(jīng)驗(yàn),你可以很輕松的從Internet 上獲得這些工具。所以任何一個(gè)上網(wǎng)者都可能構(gòu)成網(wǎng)絡(luò)安全的潛在威脅。DOS 攻擊給飛速發(fā)展的互聯(lián)網(wǎng)絡(luò)安全帶來重大的威脅。然而從某種程度上可以說,D0S 攻擊永遠(yuǎn)不會(huì)消失而且從技術(shù)上目前沒有根本的解決辦法。
3.2影響計(jì)算機(jī)網(wǎng)絡(luò)通信安全的主觀因素。主要是計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)管理人員缺乏安全觀念和必備技術(shù),如安全意識(shí)、防范意思等網(wǎng)絡(luò)安全 4.1.防火墻技術(shù)
目前,防火墻有兩個(gè)關(guān)鍵技術(shù),一是包過濾技術(shù),二是代理服務(wù)技術(shù)。1)包過濾技術(shù)
包過濾技術(shù)主要是基于路由的技術(shù),即依據(jù)靜態(tài)或動(dòng)態(tài)的過濾邏輯,在對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)前根據(jù)數(shù)據(jù)包的目的地址、源地址及端口號(hào)對(duì)數(shù)據(jù)包進(jìn)行過濾。包過濾不能對(duì)數(shù)據(jù)包中的用戶信息和文件信息進(jìn)行識(shí)別,只能對(duì)整個(gè)網(wǎng)絡(luò)提供保護(hù)。一般說來,包過濾必須使用兩塊網(wǎng)卡,即一塊網(wǎng)卡連到公網(wǎng),一塊網(wǎng)卡連到內(nèi)網(wǎng),以實(shí)現(xiàn)對(duì)網(wǎng)上通信進(jìn)行實(shí)時(shí)和雙向的控制。
包過濾技術(shù)具有運(yùn)行速度快和基本不依賴于應(yīng)用的優(yōu)點(diǎn),但包過濾只能依據(jù)現(xiàn)有數(shù)據(jù)包過濾的安全規(guī)則進(jìn)行操作,而無法對(duì)用戶在某些協(xié)議上進(jìn)行各種不同要求服務(wù)的內(nèi)容分別處理,即只是機(jī)械地允許或拒絕某種類型的服務(wù),而不能對(duì)服務(wù)中的某個(gè)具體操作進(jìn)行控制。因此,對(duì)于有些來自不安全的服務(wù)器的服務(wù),僅依靠包過濾就不能起到保護(hù)內(nèi)部網(wǎng)的作用了。2)代理服務(wù)技術(shù)
代理服務(wù)又稱為應(yīng)用級(jí)防火墻、代理防火墻或應(yīng)用網(wǎng)關(guān),一般針對(duì)某一特定的應(yīng)用來使用特定的代理模塊。代理服務(wù)由用戶端的代理客戶和防火墻端的代理服務(wù)器兩部分組成,其不僅能理解數(shù)據(jù)包頭的信息,還能理解應(yīng)用信息本身的內(nèi)容。當(dāng)一個(gè)遠(yuǎn)程用戶連接到某個(gè)運(yùn)行代理服務(wù)的網(wǎng)絡(luò)時(shí),防火墻端的代理服務(wù)器即進(jìn)行連接,IP報(bào)文即不再向前轉(zhuǎn)發(fā)而進(jìn)入內(nèi)網(wǎng)。
代理服務(wù)通常被認(rèn)為是最安全的防火墻技術(shù),因?yàn)榇矸?wù)有能力支持可靠的用戶認(rèn)證并提供詳細(xì)的注冊(cè)信息。
代理服務(wù)的代理工作在客戶機(jī)和服務(wù)器之間,具有完全控制會(huì)話和提供詳細(xì)日志、安全審計(jì)的功能,而且代理服務(wù)器的配置可以隱藏內(nèi)網(wǎng)的IP地址,保護(hù)內(nèi)部主機(jī)免受外部的攻擊。此外,代理服務(wù)還可以過濾協(xié)議,如過濾FTP連接,拒絕使用PUT命令等,以保證用戶不將文件寫到匿名的服務(wù)器上去。
代理服務(wù)在轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包的方式與包過濾防火墻也不同,包過濾防火墻是在網(wǎng)絡(luò)層轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包,而代理服務(wù)則在應(yīng)用層轉(zhuǎn)發(fā)網(wǎng)絡(luò)訪問。
以上介紹了兩種防火墻技術(shù)。由于此項(xiàng)技術(shù)在網(wǎng)絡(luò)安全中具有不可替代的作用,因而在最近十多年里得到了較大的發(fā)展,已有四類防火墻在流行,即包過濾防火墻、代理防火墻、狀態(tài)檢測(cè)防火墻和第四代防火墻。4.2.防病毒技術(shù)
Internet在為人類傳播和交換信息的同時(shí),也為計(jì)算機(jī)病毒的傳播和發(fā)展提供了良好的平臺(tái),針對(duì)網(wǎng)絡(luò)的病毒正以驚人的速度,向著更具破壞性、更加隱蔽、感染率更高、傳播速度更快、更多種類、適應(yīng)平臺(tái)更廣泛的方向發(fā)展。計(jì)算機(jī)網(wǎng)絡(luò)安全防范的一項(xiàng)重要內(nèi)容,就是在充分保證計(jì)算機(jī)網(wǎng)絡(luò)安全和對(duì)計(jì)算機(jī)網(wǎng)絡(luò)性能影響最小的前提下,有效地防止計(jì)算機(jī)病毒的侵襲。
4.3.加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全的對(duì)策措施
4.3.1 加強(qiáng)網(wǎng)絡(luò)安全教育和管理
對(duì)工作人員結(jié)合機(jī)房、硬件、軟件、數(shù)據(jù)和網(wǎng)絡(luò)等各個(gè)方面安全問題,進(jìn)行安全教育,提高工作人員的安全觀念和責(zé)任心;加強(qiáng)業(yè)務(wù)、技術(shù)的培訓(xùn),提高操作技能;教育工作人員嚴(yán)格遵守操作規(guī)程和各項(xiàng)保密規(guī)定,防止人為事故的發(fā)生。同時(shí),要保護(hù)傳輸線路安全。對(duì)于傳輸線路,應(yīng)有露天保護(hù)措施或埋于地下,并要求遠(yuǎn)離各種輻射源,以減少各種輻__射引起的數(shù)據(jù)錯(cuò)誤;線纜鋪設(shè)應(yīng)當(dāng)盡可能使用光纖,以減少各種輻射引起的電磁泄漏和對(duì)發(fā)送線路的干擾。要定期檢查連接情況,以檢測(cè)是否有搭線竊聽、非法外連或破壞行為。
4.3.2 運(yùn)用網(wǎng)絡(luò)加密技術(shù)
網(wǎng)絡(luò)信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。加密數(shù)據(jù)傳輸主要有三種:①鏈接加密。在網(wǎng)絡(luò)節(jié)點(diǎn)間加密,在節(jié)點(diǎn)間傳輸加密的信息,傳送到節(jié)點(diǎn)后解密,不同節(jié)點(diǎn)間用不同的密碼。②節(jié)點(diǎn)加密。與鏈接加密類似,不同的只是當(dāng)數(shù)據(jù)在節(jié)點(diǎn)間傳送時(shí),不用明碼格式傳送,而是用特殊的加密硬件進(jìn)行解密和重加密,這種專用硬件通常放置在安全保險(xiǎn)箱中。③首尾加密。對(duì)進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)加密,然后待數(shù)據(jù)從網(wǎng)絡(luò)傳送出后再進(jìn)行解密。網(wǎng)絡(luò)的加密技術(shù)很多,在實(shí)際應(yīng)用中,人們通常根據(jù)各種加密算法結(jié)合在一起使用,這樣可以更加有效地加強(qiáng)網(wǎng)絡(luò)的完全性。網(wǎng)絡(luò)加密技術(shù)也是網(wǎng)絡(luò)安全最有效的技術(shù)之一。既可以對(duì)付惡意軟件攻擊,又可以防止非授權(quán)用戶的訪問。
4.3.3 加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)訪問控制:
訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略,它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非正常訪問,也是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)資源的重要手段。訪問控制技術(shù)主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)的權(quán)限控制、目錄級(jí)安全控制、屬性安全控制、網(wǎng)絡(luò)服務(wù)器安全控制、網(wǎng)絡(luò)監(jiān)測(cè)和鎖定控制、網(wǎng)絡(luò)端口和節(jié)點(diǎn)的安全控制。根據(jù)網(wǎng)絡(luò)安全的等級(jí)、網(wǎng)絡(luò)空間的環(huán)境不同,可靈活地設(shè)置訪問控制的種類和數(shù)量。
4.3.4 使用防火墻技術(shù):
采用防火墻技術(shù)是解決網(wǎng)絡(luò)安全問題的主要手段。防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。防火墻是在網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的系統(tǒng),通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況。具備檢查、阻止信息流通過和允許信息流通過兩種管理機(jī)制,并且本身具有較強(qiáng)的抗攻擊能力。在邏輯上,防火墻是一個(gè)分離器、限制器和分析器,可以有效地監(jiān)控內(nèi)部網(wǎng)和Internet 之間的任何活動(dòng),保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻的應(yīng)用可最大限度地保障網(wǎng)絡(luò)的正常運(yùn)行,它可以起著提高內(nèi)部網(wǎng)絡(luò)的安全性、強(qiáng)化網(wǎng)絡(luò)安全策略、防止內(nèi)部信息泄漏、網(wǎng)絡(luò)防毒、信息加密、存儲(chǔ)通信、授權(quán)、認(rèn)證等重要作用。
總之,網(wǎng)絡(luò)安全是一個(gè)綜合性的課題,涉及技術(shù)、管理、使用等諸多方面,既包括信息系統(tǒng)本身的安全問題,也有物理的和邏輯的技術(shù)措施。因此,只有綜合采取多種防范措施,制定嚴(yán)格的保密政策和明晰的安全策略,才能完好、實(shí)時(shí)地保證信息的機(jī)密性、完整性和可用性,為網(wǎng)絡(luò)提供強(qiáng)大的安全保證。
05計(jì)算機(jī)網(wǎng)絡(luò)的安全策略
5.4.1物理安全策略。物理安全策略目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊;驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作;確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境;建立完備的安全管理制度,防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。物理安全策略還包括加強(qiáng)網(wǎng)絡(luò)的安全管理,制定有關(guān)規(guī)章制度,對(duì)于確保網(wǎng)絡(luò)的安全、可靠地運(yùn)行,將起到十分有效的作用。網(wǎng)絡(luò)安全管理策略包括:確定安全管理等級(jí)和安全管理范圍;
5.4.2常用的網(wǎng)絡(luò)安全技術(shù)。
5.2.1 網(wǎng)絡(luò)加密技術(shù)。網(wǎng)絡(luò)加密技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一。一個(gè)加密網(wǎng)絡(luò),不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng),而且也是對(duì)付惡意軟件的有效方法之一。網(wǎng)絡(luò)信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息,保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密,端點(diǎn)加密和節(jié)點(diǎn)加密三種。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全;端點(diǎn)加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供加密保護(hù);節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供加密保護(hù)。用戶可根據(jù)網(wǎng)絡(luò)情況選擇上述三種加密方式。
如果按照收發(fā)雙方的密鑰是否相同來分類,可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。在實(shí)際應(yīng)用中,人們通常將常規(guī)密碼和公鑰密碼結(jié)合在一起使用,比如:利用DES 或者IDEA 來加密信息,而采用RSA 來傳遞會(huì)話密鑰。如果按照每次加密所處理的比特來分類,可以將加密算法分為序列密碼算法和分組密碼算法,前者每次只加密一個(gè)比特。
5.2.2 防火墻技術(shù)。防火墻技術(shù)是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外界之間的一道屏障,是通過計(jì)算機(jī)硬件和軟件的組合來建立起一個(gè)安全網(wǎng)關(guān),從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵,它可以通過鑒別、限制,更改跨越防火墻的數(shù)據(jù)流,來保證通信網(wǎng)絡(luò)的安全對(duì)今后計(jì)算機(jī)通信網(wǎng)絡(luò)的發(fā)展尤為重要。
根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和狀態(tài)監(jiān)測(cè)型。
5.2.3 操作系統(tǒng)安全內(nèi)核技術(shù)。操作系統(tǒng)安全內(nèi)核技術(shù)除了在傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)上著手,人們開始在操作系統(tǒng)的層次上考慮網(wǎng)絡(luò)安全性,嘗試把系統(tǒng)內(nèi)核中可能引起安全性問題的部分從內(nèi)核中剔除出去,從而使系統(tǒng)更安全。操作系統(tǒng)平臺(tái)的安全措施包括:采用安全性較高的操作系統(tǒng);對(duì)操作系統(tǒng)的安全配置;利用安全掃描系統(tǒng)檢查操作系統(tǒng)的漏洞等。美國(guó)國(guó)防部技術(shù)標(biāo)準(zhǔn)把操作系統(tǒng)的安全等級(jí)分成了D1、C1、C2、B1、B2、B3、A 級(jí),其安全等級(jí)由低到高。目前主要的操作系統(tǒng)的安全等級(jí)都是C2 級(jí),其特征包括:①用戶必須通過用戶注冊(cè)名和口令讓系統(tǒng)識(shí)別;②系統(tǒng)可以根據(jù)用戶注冊(cè)名決定用戶訪問資源的權(quán)限;③系統(tǒng)可以對(duì)系統(tǒng)中發(fā)生的每一件事進(jìn)行審核和記錄;④可以創(chuàng)建其他具有系統(tǒng)管理權(quán)限的用戶。
5.2.5 身份驗(yàn)證技術(shù)身份驗(yàn)證技術(shù)。身份驗(yàn)證技術(shù)身份驗(yàn)證技術(shù)是用戶向系統(tǒng)出示自己身份證明的過程。身份認(rèn)證是系統(tǒng)查核用戶身份證明的過程。這兩個(gè)過程是判明和確認(rèn)通信雙方真實(shí)身份的兩個(gè)重要環(huán)節(jié),人們常把這兩項(xiàng)工作統(tǒng)稱為身份驗(yàn)證。它的安全機(jī)制在于首先對(duì)發(fā)出請(qǐng)求的用戶進(jìn)行身份驗(yàn)證,確認(rèn)其是否為合法的用戶,如是合法用戶,再審核該用戶是否有權(quán)對(duì)他所請(qǐng)求的服務(wù)或主機(jī)進(jìn)行訪問。從加密算法上來講,其身份驗(yàn)證是建立在對(duì)稱加密的基礎(chǔ)上的。
5.2.6 網(wǎng)絡(luò)防病毒技術(shù)。在網(wǎng)絡(luò)環(huán)境下,計(jì)算機(jī)病毒具有不可估量的威脅性和破壞力。CIH 病毒及愛蟲病毒就足以證明如果不重視計(jì)算機(jī)網(wǎng)絡(luò)防病毒,那可能給社會(huì)造成災(zāi)難性的后果,因此計(jì)算機(jī)病毒的防范也是網(wǎng)絡(luò)安全技術(shù)中重要的一環(huán)。網(wǎng)絡(luò)防病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測(cè),工作站上采用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。防病毒必須從網(wǎng)絡(luò)整體考慮,從方便管理人員的能,在夜間對(duì)全網(wǎng)的客戶機(jī)進(jìn)行掃描,檢查病毒情況;利用在線報(bào)警功能,網(wǎng)絡(luò)上每一臺(tái)機(jī)器出現(xiàn)故障、病毒侵入時(shí),網(wǎng)絡(luò)管理人員都能及時(shí)知道,從而從管理中心處予以解決。06結(jié)束語
隨著信息技術(shù)的飛速發(fā)展,影響通信網(wǎng)絡(luò)安全的各種因素也會(huì)不斷強(qiáng)化,因此計(jì)算機(jī)網(wǎng)絡(luò)的安全問題也越來越受到人們的重視,以上我們簡(jiǎn)要的分析了計(jì)算機(jī)網(wǎng)絡(luò)存在的幾種安全隱患,并探討了計(jì)算機(jī)網(wǎng)絡(luò)的幾種安全防范措施。
總的來說,網(wǎng)絡(luò)安全不僅僅是技術(shù)問題,同時(shí)也是一個(gè)安全管理問題。我們必須綜合考慮安全因素,制定合理的目標(biāo)、技術(shù)方案和相關(guān)的配套法規(guī)等。世界上不存在絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng),隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的進(jìn)一步發(fā)展,網(wǎng)絡(luò)安全防護(hù)技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展。
參考文獻(xiàn)
[1]吳鈺鋒,劉泉,李方敏.網(wǎng)絡(luò)安全中的密碼技術(shù)研究及其應(yīng)用[J].真空電子技術(shù),2004.[2]楊義先.網(wǎng)絡(luò)安全理論與技術(shù)[M].北京:人民郵電出版社,2003.[3]李學(xué)詩.計(jì)算機(jī)系統(tǒng)安全技術(shù)[M].武漢:華中理工大學(xué)出版社,2003.
第五篇:網(wǎng)絡(luò)安全技術(shù)
網(wǎng)絡(luò)安全技術(shù)
——防火墻技術(shù)與病毒
摘 要:
計(jì)算機(jī)網(wǎng)絡(luò)安全,指致力于解決諸如如何有效進(jìn)行介入控制,以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段。而計(jì)算機(jī)網(wǎng)絡(luò)安全主要包括計(jì)算機(jī)網(wǎng)絡(luò)安全的概況、虛擬網(wǎng)技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù), 安全掃描技術(shù), 電子認(rèn)證和數(shù)字簽名技術(shù).VPN技術(shù)、數(shù)據(jù)安全、計(jì)算機(jī)病毒等。防火墻技術(shù)作為時(shí)下比較成熟的一種網(wǎng)絡(luò)安全技術(shù),其安全性直接關(guān)系到用戶的切身利益。針對(duì)網(wǎng)絡(luò)安全獨(dú)立元素——防火墻技術(shù),通過對(duì)防火墻日志文件的分析,設(shè)計(jì)相應(yīng)的數(shù)學(xué)模型和軟件雛形,采用打分制的方法,判斷系統(tǒng)的安全等級(jí),實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估,為提高系統(tǒng)的安全性提供科學(xué)依據(jù)。本文將以最常見的WORD宏病毒為例來解釋計(jì)算機(jī)病毒傳播過程。
關(guān)鍵詞:網(wǎng)絡(luò)安全 防火墻技術(shù) 計(jì)算機(jī)病毒
1.1 研究背景
隨著互聯(lián)網(wǎng)的普及和發(fā)展,尤其是Internet的廣泛使用,使計(jì)算機(jī)應(yīng)用更加廣泛與深入。同時(shí),我們不得不注意到,網(wǎng)絡(luò)雖然功能強(qiáng)大,也有其脆弱易受到攻擊的一面。據(jù)美國(guó)FBI統(tǒng)計(jì),美國(guó)每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá)75億美元,而全求平均每20秒鐘就發(fā)生一起Internet計(jì)算機(jī)侵入事件。在我國(guó),每年因黑客入侵、計(jì)算機(jī)病毒的破壞也造成了巨大的經(jīng)濟(jì)損失。人們?cè)诶镁W(wǎng)絡(luò)的優(yōu)越性的同時(shí),對(duì)網(wǎng)絡(luò)安全問題也決不能忽視。如何建立比較安全的網(wǎng)絡(luò)體系,值得我們關(guān)注研究。
1.2 計(jì)算機(jī)病毒簡(jiǎn)介
計(jì)算機(jī)病毒是指那些具有自我復(fù)制能力的計(jì)算機(jī)程序, 它能影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行, 破壞數(shù)據(jù)的正確與完整。計(jì)算機(jī)病毒的來源多種多樣, 有的是計(jì)算機(jī)工作人員或業(yè)余愛好者為了純粹尋開心而制造出來的;有的則是軟件公司為保護(hù)自己的產(chǎn)品被非法拷貝而制造的報(bào)復(fù)性懲罰, 因?yàn)樗麄儼l(fā)現(xiàn)病毒比加密對(duì)付非法拷貝更有效且更有威脅, 這種情況助長(zhǎng)了病毒的傳播。還有一種情況就是蓄意破壞, 它分為個(gè)人行為和政府行為兩種, 個(gè)人行為多為雇員對(duì)雇主的報(bào)復(fù)行為, 而政府行為則是有組織的戰(zhàn)略戰(zhàn)術(shù)手段。另外有的病毒還是用于研究或?qū)嶒?yàn)而設(shè)計(jì)的“有用”程序, 由于某種原因失去控制擴(kuò)散出實(shí)驗(yàn)室, 從而成為危害四方的計(jì)算機(jī)病毒。
1987 年, 計(jì)算機(jī)用戶忽然發(fā)現(xiàn), 在世界的各個(gè)角落, 幾乎同時(shí)出現(xiàn)了形形色色的計(jì)算機(jī)病毒。Brain, Lenig h, IBM 圣誕樹, 黑色星期五, 特別是近期發(fā)現(xiàn)的幾種病毒, 其名氣也最大, 它們是: 臺(tái)灣一號(hào)病毒、DIR-Ⅱ病毒、幽靈病毒、米開朗基羅病毒等, 至今, 病毒種類已超過一萬種。
1988 年底, 我國(guó)國(guó)家統(tǒng)計(jì)系統(tǒng)發(fā)現(xiàn)小球病毒。隨后, 中國(guó)有色金屬總公司所屬昆明、天津、成都等地的一些單位, 全國(guó)一些科研部門和國(guó)家機(jī)關(guān)也相繼發(fā)現(xiàn)病毒入侵。自從“中國(guó)炸彈”病毒出現(xiàn)后,已發(fā)現(xiàn)越來越多的國(guó)產(chǎn)病毒。比如目前國(guó)內(nèi)主要有:感染W(wǎng)indow s3.x 的“V3783”,感染W(wǎng)indow s95/ 98的“CIH”病毒。
縱觀計(jì)算機(jī)病毒的發(fā)展歷史, 我們不難看出, 計(jì)算機(jī)病毒已從簡(jiǎn)單的引導(dǎo)型、文件型病毒或它們的混合型發(fā)展到了多形性病毒、欺騙性病毒、破壞性病毒。已從攻擊安全性較低的DOS平臺(tái)發(fā)展到攻擊安全性較高的Window s95/ 98平臺(tái);從破壞磁盤數(shù)據(jù)發(fā)展到直接對(duì)硬件芯片進(jìn)行攻擊。1995 年宏病毒的出現(xiàn), 使病毒從感染可執(zhí)行文件過渡到感染某些非純粹的數(shù)據(jù)文件。最近有資料顯示已發(fā)現(xiàn)JAVA病毒, 各種跡象表明病毒正向著各個(gè)領(lǐng)域滲透, 這些新病毒更隱秘, 破壞性更強(qiáng)。
計(jì)算機(jī)病毒的種類很多, 不同種類的病毒有著各自不同的特征, 它們有的以感染文件為主、有的以感染系統(tǒng)引導(dǎo)區(qū)為主, 大多數(shù)病毒只是開個(gè)小小的玩笑。
按傳染方式分類可分為引導(dǎo)型病毒、文件型病毒和混合型病毒3種。引導(dǎo)型病毒主要是感染磁盤的引導(dǎo)區(qū), 系統(tǒng)從包含了病毒的磁盤啟動(dòng)時(shí)傳播, 它一般不對(duì)磁盤文件進(jìn)行感染;文件型病毒一般只傳染磁盤上的可執(zhí)行文件(COM, EXE), 其特點(diǎn)是附著于正常程序文件, 成為程序文件的一個(gè)外殼或部件;混合型病毒則兼有以上兩種病毒的特點(diǎn), 既感染引導(dǎo)區(qū)又感染文件, 因此擴(kuò)大了這種病毒的傳染途徑。
按連接方式分類可分為源碼型病毒、入侵型病毒和操作系統(tǒng)型病毒等3 種。其中源碼型病毒主要攻擊高級(jí)語言編寫的源程序, 它會(huì)將自己插入到系統(tǒng)的源程序中, 并隨源程序一起編譯、連接成可執(zhí)行文件, 從而導(dǎo)致剛剛生成的可執(zhí)行文件直接帶毒;入侵型病毒用自身代替正常程序中的部分模塊或堆棧區(qū)的病毒, 它只攻擊某些特定程序, 針對(duì)性強(qiáng);操作系統(tǒng)型病毒是用其自身部分加入或替代操作系統(tǒng)的部分功能, 危害性較大。
病毒按程序運(yùn)行平臺(tái)分類可分為DOS 病毒、Windows 病毒、WindowsNT病毒、OS/2 病毒等, 它們分別是發(fā)作于DOS,Windows9X,WindowsNT, OS/2等操作系統(tǒng)平臺(tái)上的病毒。而計(jì)算機(jī)病毒的主要危害:不同的計(jì)算機(jī)病毒有不同的破壞行為, 其中有代表性的行為如下: 一是攻擊系統(tǒng)數(shù)據(jù)區(qū), 包括硬盤的主引導(dǎo)扇區(qū)、Boot 扇區(qū)、FAT 表、文件目錄。一般來說, 攻擊系統(tǒng)數(shù)據(jù)區(qū)的病毒是惡性病毒, 受損的數(shù)據(jù)不易恢復(fù)。二是攻擊文件, 包括刪除、改名、替換文件內(nèi)容、刪除部分程序代碼、內(nèi)容顛倒、變碎片等等。三是攻擊內(nèi)存。
1.3防火墻概述
隨著Internet的迅速發(fā)展,網(wǎng)絡(luò)應(yīng)用涉及到越來越多的領(lǐng)域,網(wǎng)絡(luò)中各類重要的、敏感的數(shù)據(jù)逐漸增多;同時(shí)由于黑客入侵以及網(wǎng)絡(luò)病毒的問題,使得網(wǎng)絡(luò)安全問題越來越突出。因此,保護(hù)網(wǎng)絡(luò)資源不被非授權(quán)訪問,阻止病毒的傳播感染顯得尤為重要。就目前而言,對(duì)于局部網(wǎng)絡(luò)的保護(hù),防火墻仍然不失為一種有效的手段,防火墻技術(shù)主要分為包過濾和應(yīng)用代理兩類。其中包過濾作為最早發(fā)展起來的一種技術(shù),其應(yīng)用非常廣泛。
防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。[4]防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻提供信息安全服務(wù),是實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,它有效地監(jiān)控了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安全。
2.防火墻的原理及分類
顧名思義,包過濾防火墻[9]就是把接收到的每個(gè)數(shù)據(jù)包同預(yù)先設(shè)定的包過濾規(guī)則相比較,從而決定是否阻塞或通過。過濾規(guī)則是基于網(wǎng)絡(luò)層IP包包頭信息的比較。包過濾防火墻工作在網(wǎng)絡(luò)層,IP包的包頭中包含源、目的IP地址,封裝協(xié)議類型(TCP,UDP,ICMP或IP Tunnel),TCP/UDP端口號(hào),ICMP消息類型,TCP包頭中的ACK等等。如果接收的數(shù)據(jù)包與允許轉(zhuǎn)發(fā)的規(guī)則相匹配,則數(shù)據(jù)包按正常情況處理;如果與拒絕轉(zhuǎn)發(fā)的規(guī)則相匹配,則防火墻丟棄數(shù)據(jù)包;如果沒有匹配規(guī)則,則按缺省情況處理。包過濾防火墻是速度最快的防火墻,這是因?yàn)樗幱诰W(wǎng)絡(luò)層,并且只是粗略的檢查連接的正確性,所以在一般的傳統(tǒng)路由器上就可以實(shí)現(xiàn),對(duì)用戶來說都是透明的。但是它的安全程度較低,很容易暴露內(nèi)部網(wǎng)絡(luò),使之遭受攻擊。例如,HTTP。通常是使用80端口。如果公司的安全策略允許內(nèi)部員工訪問網(wǎng)站,包過濾防火墻可能設(shè)置允所有80端口的連接通過,這時(shí),意識(shí)到這一漏洞的外部人員可以在沒有被認(rèn)證的情況下進(jìn)入私有網(wǎng)絡(luò)。包過濾防火墻的維護(hù)比較困難,定義過濾規(guī)則也比較復(fù)雜,因?yàn)槿魏我粭l過濾規(guī)則的不完善都會(huì)給網(wǎng)絡(luò)黑客造成可乘之機(jī)。同時(shí),包過濾防火墻一般無法提供完善的日志。
應(yīng)用級(jí)代理技術(shù)通過在OSI的最高層檢查每一個(gè)IP包,從而實(shí)現(xiàn)安全策略。代理技術(shù)與包過濾技術(shù)完全不同,包過濾技術(shù)在網(wǎng)絡(luò)層控制所有的信息流,而代理技術(shù)一直處理到應(yīng)用層,在應(yīng)用層實(shí)現(xiàn)防火墻功能。它的代理功能,就是在防火墻處終止客戶連接并初始化一個(gè)新的連接到受保護(hù)的內(nèi)部網(wǎng)絡(luò)。這一內(nèi)建代理機(jī)制提供額外的安全,這是因?yàn)樗鼘?nèi)部和外部網(wǎng)絡(luò)隔離開來,使網(wǎng)絡(luò)外部的黑客在防火墻內(nèi)部網(wǎng)絡(luò)上進(jìn)行探測(cè)變得困難,更重要的是能夠讓網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行全面的控制。但是,這將花費(fèi)更多的處理時(shí)間,并且由于代理防火墻支持的應(yīng)用有限,每一種應(yīng)用都需要安裝和配置不同的應(yīng)用代理程序。比如訪問WEB站點(diǎn)的HTTP,用于文件傳輸?shù)腇TP,用于E一MAIL的SMTP/POP3等等。如果某種應(yīng)用沒有安裝代理程序,那么該項(xiàng)服務(wù)就不被支持并且不能通過防火墻進(jìn)行轉(zhuǎn)發(fā);同時(shí)升級(jí)一種應(yīng)用時(shí),相應(yīng)的代理程序也必須同時(shí)升級(jí)。
代理服務(wù)(Proxy Service)也稱鏈路級(jí)網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。它是針對(duì)數(shù)據(jù)包過濾[10]和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù),其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”,由兩個(gè)終止代理服務(wù)器上的“鏈接”來實(shí)現(xiàn),外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器,從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外,代理服務(wù)也對(duì)過往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記,形成報(bào)告,同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào),并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn),起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時(shí) 也常結(jié)合入過濾器的功能。它工作在OSI模型的最高層,掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。
復(fù)合型防火墻:由于對(duì)更高安全性的要求,常把基于包過濾的方法與基于應(yīng)用代理的方法結(jié)合起來,形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機(jī)防火墻體系結(jié)構(gòu),在該結(jié)構(gòu)中,分組過濾路由器或防火墻與Internet相連,同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò),通過在分組過濾器路由器或防火墻上過濾規(guī)則的設(shè)置,使堡壘機(jī)成為Internet上其他節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn),這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu):堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi),形成非軍事化區(qū),兩個(gè)分組過濾路由器放在這一子網(wǎng)的兩端,使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中,堡壘機(jī)和分組過濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。執(zhí)行save命令保存退出后就可以在企業(yè)外網(wǎng)出口指定IP時(shí)實(shí)現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)以及安全保護(hù)功能了。
3.1防火墻包過濾技術(shù)發(fā)展趨勢(shì)
(1)安全策略功能
一些防火墻廠商把在AAA系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中,使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的,包過濾技術(shù)的防火墻不具有。用戶身份驗(yàn)證功能越強(qiáng),它的安全級(jí)別越高,但它給網(wǎng)絡(luò)通信帶來的負(fù)面影響也越大,因?yàn)橛脩羯矸蒡?yàn)證需要時(shí)間,特別是加密型的用戶身份驗(yàn)證。
(2)多級(jí)過濾技術(shù)
所謂多級(jí)過濾技術(shù),是指防火墻采用多級(jí)過濾措施,并輔以鑒別手段。在分組過濾(網(wǎng)絡(luò)層)一級(jí),過濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級(jí),遵循過濾規(guī)則,過濾掉所有禁止出或/和入的協(xié)議和有害數(shù)據(jù)包如nuke包、圣誕樹包等;在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級(jí),能利用FTP、SMTP等各種網(wǎng)關(guān),控制和監(jiān)測(cè)Internet提供的所用通用服務(wù)。這是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型過濾技術(shù),它可以彌補(bǔ)以上各種單獨(dú)過濾技術(shù)的不足。
這種過濾技術(shù)在分層上非常清楚,每種過濾技術(shù)對(duì)應(yīng)于不同的網(wǎng)絡(luò)層,從這個(gè)概念出發(fā),又有很多內(nèi)容可以擴(kuò)展,為將來的防火墻技術(shù)發(fā)展打下基礎(chǔ)。
(3)功能擴(kuò)展
功能擴(kuò)展是指一種集成多種功能的設(shè)計(jì)趨勢(shì),包括VPN、AAA、PKI、IPSec等附加功能,甚至防病毒、入侵檢測(cè)這樣的主流功能,都被集成到防火墻產(chǎn)品中了,很多時(shí)候我們已經(jīng)無法分辨這樣的產(chǎn)品到底是以防火墻為主,還是以某個(gè)功能為主了,即其已經(jīng)逐漸向我們普遍稱之為IPS(入侵防御系統(tǒng))的產(chǎn)品轉(zhuǎn)化了。有些防火墻集成了防病毒功能,通常被稱之為“病毒防火墻”,當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn),因?yàn)樗羌冘浖问剑菀讓?shí)現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播,比等待攻擊的發(fā)生更加積極。擁有病毒防護(hù)功能的防火墻可以大大減少公司的損失。
3.1防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)
隨著網(wǎng)絡(luò)應(yīng)用的增加,對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外,在以后幾年里,多媒體應(yīng)用將會(huì)越來越普遍,它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要,一些防火墻制造商開發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來,基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案,它需要在很大程度上依賴于軟件的性能,但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎,從而減輕了CPU的負(fù)擔(dān),該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。
與基于ASIC的純硬件防火墻相比,基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩,因而更加具有靈活性。基于ASIC的防火墻使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流,比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性,這就使得它缺乏靈活性,從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性,使其與軟件更好地配合。這樣的防火墻就可以同時(shí)滿足來自靈活性和運(yùn)行性能的要求。參考文獻(xiàn)
[1] 艾軍.防火墻體系結(jié)構(gòu)及功能分析[J].電腦知識(shí)與技術(shù).2004,(s):79一82.[2] 高峰.許南山.防火墻包過濾規(guī)則問題的研究[M].計(jì)算機(jī)應(yīng)用.2003,23(6):311一312.[3] 孟濤、楊磊.防火墻和安全審計(jì)[M].計(jì)算機(jī)安全.2004,(4):17一18.[4] 鄭林.防火墻原理入門[Z].E企業(yè).2000.[5] 魏利華.防火墻技術(shù)及其性能研究.能源研究與信息.2004,20(l):57一62
[6] 李劍,劉美華,曹元大.分布式防火墻系統(tǒng).安全與環(huán)境學(xué)報(bào).2002,2(l):59一61
[7] 王衛(wèi)平,陳文惠,朱衛(wèi)未.防火墻技術(shù)分析.信息安全與通信保密.2006,(8):24一27
[8] 付歌,楊明福.一個(gè)快速的二維數(shù)據(jù)包分類算法.計(jì)算機(jī)工程.2004,30(6):76一78
[9] 付歌,楊明福,王興軍.基于空間分解的數(shù)據(jù)包分類技術(shù).計(jì)算機(jī)工程與應(yīng)用.2004(8):63一65
[10] 〕韓曉非,王學(xué)光,楊明福.位并行數(shù)據(jù)包分類算法研究.華東理工大學(xué)學(xué)報(bào).2003,29(5):504一508
[11] 韓曉非,楊明福,王學(xué)光.基于元組空間的位并行包分類算法.計(jì)算機(jī)工程與應(yīng)用.2003,(29):188一192
[12] 馮東雷,張勇,白英彩.一種高性能包分類漸增式更新算法.計(jì)算機(jī)研究與發(fā)展.2003,40(3):387一392
點(diǎn)擊咨詢 