第一篇:《網絡安全技術》課程總結報告
《網絡安全技術》
課程總結報告
學校名稱 班級學號 姓名
20XX年X月
文件安全傳輸
計算機網絡的迅猛發展引發了人們對網絡安全的重視,信息安全的目標在于保證信息的保密性、完整性、可靠性、可用性和不可否認性。網絡漏洞是系統軟、硬件存在安全方面的脆弱性。安全漏洞的存在導致非法用戶入侵系統或未經授權獲得訪問權限,造成信息篡改和泄露、拒絕服務或系統崩潰等問題。
文件安全傳輸方案:
2.1 方案要求
1.熟悉安全通信中常用的加密算法; 2.熟悉數字簽名過程;
3.實現文件傳輸信息的保密性、完整性和不可否認性。
2.2 主要儀器名稱
1.Windows 2000/XP計算機兩臺。2.CIS工具箱。
2.3 方案內容
1.將任意兩臺主機作為一組,記為發送方——終端A和接收方——終端B。使用“快照X”恢復Windows系統環境。
2.終端A操作:
1)與終端B預先協商好通信過程中所使用的對稱加密算法,非對稱加密算法和哈希函數;
2)采用對稱加密算法(密鑰稱之為回話密鑰)對傳輸信息進行加密文,確保傳輸信息的保密性;
64位密碼:c080400414 明文:hello world!密文:{115097728,-1527542226,315982460,167601359}
3)使用終端B的公鑰對回話密鑰進行加密,確保傳輸信息的保密性以及信息接收方的不可否認性;
接收方RSA公鑰(e,n):(101,143)DES密碼密文:{99,81,23,81,52,81,81,52} 4)采用哈希函數(生成文件摘要)確保傳輸信息的完整性,并使自己的私鑰對文件摘要進行簽名(得到數字簽名),確保信息發送方的不可否認性;
獲取摘要:{3468fb8a6340be53d2cf10fb2defof5b} 數字簽名:
{1130,582,1833,4,1991,1002,582,750,1002,1130,1465,1991,1130,500,500,1238,1002,750,500,538,1238,153,1833,500,4,85,1204,1130,750,4,538,1465} RSA私鑰(d,n):(101,143)5)將密文加密后的會話密鑰和數字簽名打包封裝(放在一起)后,通過網絡傳輸給終端B。
3.終端B操作:
1)與終端A預先協商好通信過程中所使用到的對稱加密算法;
2)使用自己的私鑰對終端A加密的會話密鑰進行解密,得到準會話密鑰; 3)使用準會話密鑰對得到的密文進行解密得到準明文;
4)使用終端A的公鑰對得到的數字簽名進行解密,得到準明文摘要; 5)使用哈希函數計算得到準明文摘要;
6)將計算得到的摘要與準明文摘要進行比較,若相同則表明文件安全傳輸成功。
接收方:
使用自己的私鑰101對發送方加密的會話密鑰進行解密的c0804004 使用密鑰c0804004對密文進行解密,得到hello word!
使用發送方的公鑰(1411,2041)對得到的數字簽名進行解密,得到準明文摘要
使用哈希函數計算得準明文摘要{3468fb8a6340be53d2cf10fb2defof5b} 將計算得到的摘要與準明文摘要進行比較,發現相同說明文件安全傳輸成功
2.4 對文件使用非對稱加密算法直接加密的可行性
不可行。非對稱加密算法安全性依賴于算法與密鑰,其中用于消息解密的密鑰值與用于消息加密的密鑰值不同,但是由于其算法復雜,并且待加密的文件或信息一般較長,使得加密解密速度比對稱加密解密的速度慢數千倍。
而AES對稱機密算法是高級加密標準,速度快并且安全級別高,更適用于大量數據的加密場合。不過因為非對稱加密算法通常有兩個密鑰,其中“公鑰”可以對外公布,“私鑰”則只能由持有人一個人知道,兩者必須配對使用,否則不能打開加密文件。因而表現出非對稱加密算法的優越性,對稱式的加密方法如果是在網絡上傳輸加密文件就很難把密鑰告知對方,不管用什么方法都有可能被竊聽到;這時用非對稱的方式對密鑰再做一次加密,收件人解密是只要用自己的私鑰就可以,這樣能很好地避免密鑰的傳輸安全性問題。所以一般經常用其加密對稱加密算法所使用過的密鑰。防火墻技術
網絡掃描通過選用遠程TCP/IP不同端口的服務,并記錄目標給予的回答,可以搜集到很多關于目標網絡的有用信息,如系統開放的端口、提供的服務、服務進程守護程序的版本號、操作系統類型、操作系統的版本、網絡拓撲結構、防火墻規則和闖入察覺裝置等。下面闡述端口掃描和遠程操作系統掃描的主要技術。
實驗目的:
1.了解防火墻的含義與作用 2.學習防火墻的基本配置方法
主要儀器名稱:
1.Windows 2003系統防火墻 2.Udptools-udp連接工具
實驗原理:
1.防火墻基礎操作:
操作概述,啟用windows 2003系統防火墻,設置規則阻斷icmp回顯請求數據包,并驗證對UDP工具的里外操作
在啟用windows 2003系統防火墻之前,同組主機通過ping指令相互測試網絡連通性確保相互連通的,若測試未通過先排除故障
2.本機啟用防火墻,并設置防火墻對本地連接,進行操作 3.同組主機通過ping之戀互相測試網絡連通性,確保相互連通 4.設置本級防火墻允許其傳入icmp回顯請求 5.第三次測試網絡連通性
2.1 NAT服務器正常運行的檢測
傳輸控制協議TCP和用戶數據報協議UDP,分別為應用層提供可靠的面向連接的服務和無連接服務。其中,UDP協議相對比較簡單。
啟用Windows2003系統防火墻,設置規則阻斷ICMP回顯請求數據包,并驗證針對UDP連接工具的例外操作。
1.在啟用防火墻之前,同組主機通過ping指令互相測試網絡連通性,確保相互是聯通的。若測試未通過則需要清楚故障;
2.本機啟用防火墻,并設置防火墻僅對“本地連接”保護;
3.同組主機通過ping指令互相測試網絡連通性,確認是否相互連通; 回答:沒有連接,測試超時。
4.設置本機防火墻允許其傳入icmp回顯請求; 5.第n詞測試網絡連通性。回答:測試連接成功。
2.2 NAT服務器——防火墻(Network Address Translation)NAT是在局域網內部網絡中使用內部地址,而當內部借點要與外部網絡進行通訊時,就在網關處,將內部地址替換成公用地址,從而在外部公網上正常使用。
NAT服務器的網絡地址轉換
1.客戶機將數據包發給運行NAT的計算機;
2.NAT將數據包中的端口號和專用的IP地址換為自己的端口號和公用的IP地址,然后將數據包發給外部網絡的目的主機,同時記錄一個跟蹤信息在映像表中,以便向客戶機發送回答信息;
3.外部網絡發送回答信息給NAT;
4.NAT將所收到的數據包的端口號和公用IP地址轉換為客戶機的端口號和內部網絡使用的專用IP地址并轉發給客戶機;
5.NAT服務器可使內部網絡與外部網絡無法直接訪問,而要通過它的轉換,將內部網絡與外部網絡隔離開來,因此NAT服務器可起到防火墻的作用。入侵檢測技術 Snort是一個強大的輕量級的網絡入侵檢測系統,它具有實時數據流量分析和記錄IP網絡數據包功能,能夠進行協議分析,對網絡數據包內容進行協議分析,對網絡數據包內容進行搜索/匹配,他能夠檢測各種不同的攻擊方式,對攻擊進行實時報警,此外,Snort是開放源的入侵檢測系統,并且有很好的擴展性和可移植性。
3.1 嗅探器
嗅探器模式是從網絡上讀取數據包并作為連續不斷的流顯示在終端上。
1.啟動Snort,進入實驗平臺,單擊工具欄:“控制臺”按鈕,進入IDS工作目錄,運行Snort對網絡etho進行監聽。并遵循以下要求:
1)僅捕獲同組主機發出的icmp回顯請求數據包; 2)利用詳細模式在終端顯示數據鏈路層,應用層信息; 3)對捕獲的信息進行日志記錄。
Snort命令:Snort-i etho-deo icmp and src net 172.16.0.37-l/var/log/Snort 2.查看Snort日志記錄 Snort數據包記錄
1)對網絡接口etho進行監聽,僅捕獲同組主機發出的Telent請求數據包,并將捕獲數據包以二進制方式進行,存儲到日志文件中;
2)當前主機執行上述命令,同組主機Telent遠程登錄當前主機; 3)停止Snort,捕獲讀取Snort.log文件,查看數據包內容。
3.2 數據包記錄器
數據包記錄器模式是把數據包記錄到硬盤上。
1.對網絡接口etho進行監聽,僅捕獲同組主機發出的telnet請求數據包并將捕獲數據包以二進制方式進行存儲到日志文件中。
Snort命令:Snort-i etho-b top and src net 172.16.0.37 and dst port 23 2.當前主機執行上述命令,同組主機telnet遠程登錄到當前主機。3.停止Snort捕獲,讀取Snort.log文件,查看數據包內容。Snort命令:Snort-r/var/log/Snort/Snort.log.1304385940
3.3 網絡入侵檢測系統 網路入侵檢測模式是最復雜的,而且是可配置的。可以讓snort分析網絡數據流以匹配用戶定義的一些規則,并根據檢測結果采取一定的動作。
1.在Snort規則集目錄/opt/ids/rules下新建Snort規則集文件new.rules,對來自外部主機的目標為當前主機80/tcp端口的請求數據包進行報警。報警消息自定義,Snort規則alert tcp!172.16.0.39 any→172.16.0.39 80 2.編輯Snort.conf配置文件,使其包含new.rules規則集文件,具體操作如下:使用Vim編輯器打開Snort.conf,切至編輯模式,在最后添加新行包含規則集文件new.rules。添加包涵new.rules規則集文件語句Include $RULE-PATH/new.rules 3.以入侵檢測方式啟動Snort,進行監聽
啟動命令:/Snort-c Snort conf。以入侵檢測公事啟動Snort,同組主機訪問當前主機Web服務。病毒攻防技術
實驗目的:
1.了解腳本病毒的工作原理
2.了解腳本病毒常見的感染目標和感染方式 3.掌控編寫腳本病毒專殺工具的一般方法
主要儀器名稱:
Windows腳本安全wsh 能夠解釋執行VBS和JS文件
4.1 簡介
腳本程序的執行環境需要WSH環境,WSH為宿主腳本創建環境。即當腳本到達計算機時,WSH充當主機的不分,它使對象和服務可用于腳本,并提供一系列腳本執行指南。
4.2 腳本病毒的主要特征
1. 由于腳本是直接執行,可以直接通過自我復制的方式傳染其他同類文件,并且使異常處理變得非常容易; 2. 腳本病毒通過HTML文檔,Email附件或其它方式,可以在很短的時間內傳遍世界各地;
3. 新型的郵件病毒,郵件正文即為病毒,用戶接收到帶毒文件后,即使不將郵件打開,只要將鼠標指向郵件,通過預覽功能被激活;
4. 病毒源碼容易被獲取,變種多; 5. 欺騙性強。
4.3 腳本病毒的查殺方法
1.卸載Windows Scriping Host;
2.禁用文件系統對象FileSystem()bject;
3.在Windows目錄中或任務管理器進程里,找到WScript.exe更改名稱,結束進程或刪除,如右圖;
4.設置瀏覽器;
5.禁止OE自動收發郵件功能; 6.進入注冊表編輯器,找到注冊表項:HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionrunMSKernel32,將其刪除,如下圖;
7.設計腳本病毒專殺工具查殺病毒,如下圖。
第二篇:網絡安全技術課程論文
《網絡安全技術》課程論文
題
目:
網絡黑客 院
(部):
商學院 專
業:
電子商務 班
級:
姓
名:
學
號:
指導教師:
完成日期:
網 絡 黑 客
摘要:隨著網絡在人們生活與工作的各方面使用的日益普遍,網絡安全問題已經成為一 個被人們強烈關注的熱點。而其中黑客攻擊所造成的安全問題是很重要的一個方面。本文將介紹有關黑客使用的手段,造成的威脅與應對的方法。隨著網絡在人們生活與工作的各方面使用的日益普遍,網絡安全問題已經成為一 個被人們強烈關注的熱點。而其中黑客攻擊所造成的安全問題是很重要的一個方面。本文將介紹有關黑客使用的手段,造成的威脅與應對的方法。關鍵詞:網絡安全,黑客技術,黑客,病毒,防火墻。
一、網絡安全的定義
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。網絡安全包含網絡設備安全、網絡信息安全、網絡軟件安全。從廣義來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。
二、黑客技術
2.1定義
黑客是英文“Hacker”的英文譯音,它起源于美國麻省理工學院的計算機實驗室中。早期黑客只是利用自己的智慧和特殊的技術,揭露軟件和網絡系統中的漏洞,以便讓制造商和網絡管理人員及時修補。然而,當互聯網以遠比人們預料快的多的速度發展的時候,黑客原有的“揭露漏洞,不進 行破壞,幫助完善系統”的信條已發生了變異,現代的黑客已經分化為三類,一是初級黑客, 這些人一般沒有特殊的企圖,只是出于好奇心,追求刺激,試探性地對網絡進行攻擊;二是 高水平黑客,這些人出于利益的驅動,為達到一定的目的,有針對性地對網絡進行攻擊;三 是職業黑客,這些人其本身可能就是恐怖分子,經濟或政治間諜等,由于他們的水平極高, 攻擊具有很大的隱蔽性,因而造成的損失也最大。總之,從發展趨勢看,黑客正在不斷地走向系統化,組織化和年輕化。
2.2中國黑客的現狀
如今國內黑客站點門派繁多,但整體素質不如人意,有的甚至低劣。主要體現在以下幾點:(1)叫法不一,很不正規。(2)技術功底薄弱,夸大作風。
(3)內容粗制濫造,應付了事,原創作品少,且相互抄襲。曾有某篇文章說,中國的黑客一代不如一代。
(4)效率低,更新少,可讀性差,界面雜亂。有些站點很少更新,死鏈接,打不開,站點雜亂,經常有死鏈接,作品抄襲。
(5)整體技術水平不高,研究層次級別低。(6)缺少一個統一協調中國黑客界行動發展的組織。2.3黑客的危害
由于成為黑客并實施黑客攻擊越來越容易,因此黑客攻擊的事件越來越多,造成的危害也就越來越嚴重,歸納起來,主要有以下幾種: 2.31 充當政治工具
近年來,黑客活動開始染上政治色彩,用非法入侵到國防,政府等一些機密信息系統,盜取國家的軍 事和政治情報等做法危害國家安全。
2.32 用于戰爭
通過網絡,利用黑客手段侵入敵方信息系統,獲取軍事信息,發布假信息,病毒,擾亂對 方系統等等。
2.33非法侵入他人的系統,獲取個人隱私獲得信息以便利用其進行敲詐,勒索或損害他人的名譽,炸毀電子郵箱,使系統癱瘓等。
三、黑客的攻擊原理
3.1 拒絕服務攻擊。拒絕服務攻擊是一種利用 TCP/IP 協議的弱點和系統存在的漏洞,對網絡設備進行攻擊的行為。它以消耗網絡帶寬和系統資源為目的,對網絡服務器發送大量“請求”信息,造成網絡或服務器系統不堪重負,致使系統癱瘓而無法提供正常的網絡服務。
3.2 惡意程序攻擊
利用一些特殊的數據包傳送給目標主機,使其做出相對應的響應,由于每種操作系統的響應時間和方式都是不一樣的,黑客利用這種特征把得到的結果與準備好的數據庫中的資料相對照,從中便可輕而易舉地判斷出目標主機操作系統所用的版本及其他相關信息, 尤其是對于某些系統,互聯網上已發布了其安全漏洞所在,但用戶由于不懂或一時疏忽未下載并安裝網上發布 的該系統的“補丁”程序,那么黑客就可以自己編寫一段程序進入到該系統進行破壞.還有一些黑客準備了后門程序, 即進入到目標系統后為方便下一次入侵而安裝在被攻擊計算機系統 內的一些程序,為該計算機埋下了無窮無盡的隱患,給用戶造成了不可預測的損失。
3.3 欺騙攻擊
每一臺計算機都有一個IP 地址,登錄時服務器可以根據這個IP 地址來判斷來訪者的身份。TCP/IP 協議是用 IP 地址來作為網絡節點的惟一標識,因此攻擊者可以在一定范圍內直接修改節點的 IP地 3
址,冒充某個可信節點的IP地址進行攻擊,欺騙攻擊就是一種利用假IP 地址騙取服務器的信任,實現非法登錄的入侵方法。
3.4 對用戶名和密碼進行攻擊。此種攻擊方式大致分為三種情況,一是對源代碼的攻擊,對于網站來說,由于ASP的方便易用,越來越多的網站后臺程序都使用ASP腳本語言。但是,由于ASP本身存在一些 安全漏洞,稍不小心就會給黑客提供可乘之機。第二種攻擊的方法就是監聽,用戶輸入的密碼需要從用戶端傳送到服務器端進行系統對其的校驗,黑客能在兩端之間進行數據監聽。一般系統在傳送密碼時都進行了加密處理, 即黑客所得到的數據中不會存在明文的密碼, 因此, 這種手法一般運用于局域網,一旦成功,攻擊者將會得到很大的操作權益。第三是解密,就是使用窮舉法對已知用戶名的密碼進行解密。這種解密軟件對嘗試所有可能字符所組成的密碼。這種方法十分耗時,但在密碼設置簡單的情況下卻比較容易得手。
四、防范措施
4.1提高安全意識
(1)不要隨意打開來歷不明的電子郵件及文件,不要隨便運行不太了解的人給你的程序,比如“特洛伊”類黑客程序就需要騙你運行。
(2)避免從Internet下載不知名的軟件、游戲程序。即使從知名的網站下載的軟件也要及時用最新的病毒和木馬查殺軟件對軟件和系統進行掃描。
(3)密碼設置盡可能使用字母數字混排,單純的英文或者數字很容易窮舉。將常用的密碼設置為不同,防止被人查出一個,連帶到重要密碼。重要密碼最好經常更換。
(4)及時下載安裝系統補丁程序。
(5)不隨便運行黑客程序,不少這類程序運行時會發出你的個人信息。
(6)在支持HTML的BBS上,如發現提交警告,先看源代碼,很可能是騙取密碼的陷阱。
4.2 使用防毒、防黑等防火墻軟件
(1)防火墻是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻檔外部網絡的侵入。
(2)防火墻的主要功能包括
1)、檢查所有從外部網絡進入內部網絡的數據包;
2)、檢查所有從內部網絡流出到外部網絡的數據包。
3)、執行安全策略,限制所有不符合安全策略要求的數據包通過。
4)、具有防攻擊能力,保證自身的安全性的能力。(3)防火墻具有以下優點:
1)、防火墻對企業內部網實現了集中地安全管理,可以強化網絡安全策略,比分散的主機管理更經濟易行。2)、防火墻能防止非授權用戶進入內部網絡。3)、防火墻可以方便地監視網絡安全性并報警。
4)、可以作為部署網絡地址轉換的地點,利用NAT技術,可以緩解地址空間的短缺,隱藏內部網的結構。
5)、由于所有的訪問都經過防火墻,防火墻是審計和記錄網絡訪問和使用的最佳地方。
五、越來越不對稱的威脅
Internet上的安全是相互依賴的。每個Internet系統遭受攻擊的可能性取決于連接到全球Internet上的其他系統的安全狀態。由于攻擊技術的進步,一個攻擊者可以比較容易地利用分布式系統,對一個受害者發動破壞性的攻擊。隨著部署自動化程度和攻擊工具管理技巧的提高,威脅的不對稱性將繼續增加。
總結
互聯網開辟了一個新的世界,它的出現和發展如此之快,遠遠超出了專家的預測,由于互聯網的開放性,隨意性,虛擬性,方便性在給人類提供了資源共享的有利條件和新的通信方式,給人們帶來了一個新的創造,展示和實現自我的虛擬世界,也帶來了負面影響。人們經常使用的操作系統和互聯網的 TCP/IP 協議有著許多安全漏洞,使得黑客攻擊互聯網成為 可能.當然,黑客攻擊事件的增多,破壞性增大,有系統本身不安全的因素,安全技術滯后 的因素,但同時,人的因素不容忽視。應該讓所有網民知道互聯網是不安全的,使網民建立 起安全防范意識,并且使其懂得保護安全,防范黑客和病毒的最基本方法,比如怎樣設置一個相對安全的密碼,怎樣利用大眾軟件中一些安全設置,像 windows,outlook 等,怎樣防范病毒以及使用殺毒軟件等等,不要讓那些因為網民對安全的無知和不警惕,但實際非常容 易避免的不安全事件發生。拒絕黑客,保障互聯網的安全,需要定完善的安全管理機制和管理制度對黑客的犯罪的嚴厲打擊。
參考文獻
[1] 蔡立軍.計算機網絡安全技術.中國水利水電出版社,第二版
[2] 孫華國.淺析網絡黑客.中國科技信息報,2005
[3] Jerry Lee Ford Z.個人防火墻.人民郵電出版社,2002
[4]余建斌.黑客的攻擊手段及用戶對策.北京人民郵電出版社,1998
第三篇:《網絡安全技術》課程介紹
《網絡安全技術》課程介紹
本課程是計算機網絡技術專業和信息安全專業的專業核心課,主要講述計算機網絡安全的相關內容。課程特點采用理論與實踐相結合的方式對網絡安全相關知識做了深入淺出的介紹。
下面從以下幾方面介紹本門課程:
(1)教學目標
通過本課程的學習,要求學生從理論上了解網絡安全的現狀,熟悉常用加密算法、數字簽名技術、保密通信技術和計算機病毒的原理及基本的攻防技術。
從實踐角度看,學生學完本課程之后能夠對主機進行基本的安全配置、對Web服務器做基本的安全配置、掌握基本的攻防技術、掌握基本的VPN技術。
(2)本課程的教學覆蓋面
本課程的教學覆蓋范圍包括保密通信、主機安全、Web安全、黑客與病毒、VPN。其中重度點內容包括:數字簽名、主機安全配置、基本的攻防技術。課程難點內容包括:公鑰密碼的原理,web上SSL協議的實現。
(3)教學方法及組織形式
針對本門課程的特點,本課主要采用理論教學與實訓教學相結合的教學方法,理論課上應用多媒體課件、動畫及視頻等多種媒體手段生動形象的描述有關知識,實訓課上以專門的實訓系統和安全靶機為平臺,針對不同實訓特點,采取分組實驗,讓學生真正接觸并掌握網絡安全的實踐技能。
(4)授課對象
本門課的授課對象主要是高職高專的學生,因此所講理論要求密切與實訓結合。實訓過程密切與生產結合。
(5)教材與參考資料
課程選用的教材是在吉林中軟吉大公司出品的《網絡綜合教學實訓系統——網絡安全技術篇》基礎上改編的校內教材,參考的文獻主要包括清華大學出版的《計算機網絡安全》、人民郵電出版的《計算機網絡安全技術》等教材、中國知網等知名數據庫中的論文,以及網上的一些相關資料。
第四篇:計算機網絡安全技術課程論文
淺談計算機網絡安全技術
學號******姓名 ** .1摘要:隨著計算機網絡在人類生活領域中的廣泛應用,針對計算機網絡的攻擊事件也隨之增加。網絡已經無所不在的影響著社會的政治、經濟、文化、軍事、意識形態和社會生活等各個方面。同時在全球范圍內,針對重要信息資源和網絡基礎設施的入侵行為和企圖入侵行為的數量仍在持續不斷增加,網絡攻擊與入侵行為對國家安全、經濟和社會生活造成了極大的威脅。諸如此類的事件已給政府及企業造成了巨大的損失,甚至危害到國家的安全。網絡安全已成為世界各國當今共同關注的焦點,網絡安全的重要性是不言而喻的,因此,對漏洞的了解及防范也相對重要起來。在我的這篇論文里,將綜合概括計算機網絡安全來源,計算機通信網絡安全的客觀因素,以及應對計算機通信網絡安全的基本策略。
關鍵詞 :網絡安全的來源 /計算機網絡安全/ 防護技術
.2引言
隨著信息時代的加速到來,人們對因特網的依賴也越來越強,網絡已成為人們生活中不可缺少的一部分。計算機網絡在為人們提供便利、帶來效益的同時,也使人類面臨著信息安全的巨大挑戰。
組織和單位的計算機網絡是黑客攻擊的主要目標。如果黑客組織能攻破組織及單位的計算機網絡防御系統,他就有訪問成千上萬計算機的可能性。據統計,近年來因網絡安全事故造成的損失每年高達上千億美元。計算機系統的脆弱性已為各國政府與機構所認識,因此對于計算機網絡安全的建立與防護得到各國的極度關注。建立安全的全球性安全網絡是件迫不及待的任務,各國人們都在此投入大量人力,物力,財力來確保計算機網絡安全。
.3影響計算機通信網絡安全的因素分析
3.1影響計算機通信網絡安全的客觀因素。
3.1.1 網絡資源的共享性。計算機網絡最主要的一個功能就是“資源共享”。無論你是在天涯海角,還是遠在天邊,只要有網絡,就能找到你所需要的信息。所以,資源共享的確為我們提供了很大的便利,但這為系統安全的攻擊者利用共享的資源進行破壞也提供了機會。
3.1.2
網絡操作系統的漏洞。操作系統漏洞是指計算機操作系統本身所存在的問題或技術缺陷。由于網絡協議實現的復雜性,決定了操作系統必然存在各種的缺陷和漏洞。
3.1.3網絡系統設計的缺陷。網絡設計是指拓撲結構的設計和各種網絡設備的選擇等。網絡設備、網絡協議、網絡操作系統等都會直接帶來安全隱患。
3.1.4網絡的開放性。網上的任何一個用戶很方便訪問互聯網上的信息資源,從而很容易獲取到一個企業、單位以及個人的信息。
3.1.5惡意攻擊。惡意攻擊就是人們常見的黑客攻擊及網絡病毒.是最難防范的網絡安全威脅。隨著電腦教育的大眾化,這類攻擊也越來越多,影響越來越大。無論是DOS 攻擊還是DDOS 攻擊,簡單的看,都只是一種破壞網絡服務的黑客方式,雖然具體的實現方式千變萬化,但都有一個共同點,就是其根本目的是使受害主機或網絡無法及時接收并處理外界請求,或無法及時回應外界請求。具體表現方式有以下幾種:(1)制造大流量無用數據,造成通往被攻擊主機的網絡擁塞,使被攻擊主機無法正常和外界通信。(2)利用被攻擊主機提供服務或傳輸協議上處理重復連接的缺陷,反復高頻的發出攻擊性的重復服務請求,使被攻擊主機無法及時處理其它正常的請求。(3)利用被攻擊主機所提供服務程序或傳輸協議的本身實現缺陷,反復發送畸形的攻擊數據引發系統錯誤而分配大量系統資源,使主機處于掛起狀態甚至死機。
DOS 攻擊幾乎是從互聯網絡的誕生以來,就伴隨著互聯網絡的發展而一直存在也不斷發展和升級。值得一提的是,要找DOS 的工具一點不難,黑客網絡社區都有共享黑客軟件的傳統,并會在一起交流攻擊的心得經驗,你可以很輕松的從Internet 上獲得這些工具。所以任何一個上網者都可能構成網絡安全的潛在威脅。DOS 攻擊給飛速發展的互聯網絡安全帶來重大的威脅。然而從某種程度上可以說,D0S 攻擊永遠不會消失而且從技術上目前沒有根本的解決辦法。
3.2影響計算機網絡通信安全的主觀因素。主要是計算機系統網絡管理人員缺乏安全觀念和必備技術,如安全意識、防范意思等網絡安全 4.1.防火墻技術
目前,防火墻有兩個關鍵技術,一是包過濾技術,二是代理服務技術。1)包過濾技術
包過濾技術主要是基于路由的技術,即依據靜態或動態的過濾邏輯,在對數據包進行轉發前根據數據包的目的地址、源地址及端口號對數據包進行過濾。包過濾不能對數據包中的用戶信息和文件信息進行識別,只能對整個網絡提供保護。一般說來,包過濾必須使用兩塊網卡,即一塊網卡連到公網,一塊網卡連到內網,以實現對網上通信進行實時和雙向的控制。
包過濾技術具有運行速度快和基本不依賴于應用的優點,但包過濾只能依據現有數據包過濾的安全規則進行操作,而無法對用戶在某些協議上進行各種不同要求服務的內容分別處理,即只是機械地允許或拒絕某種類型的服務,而不能對服務中的某個具體操作進行控制。因此,對于有些來自不安全的服務器的服務,僅依靠包過濾就不能起到保護內部網的作用了。2)代理服務技術
代理服務又稱為應用級防火墻、代理防火墻或應用網關,一般針對某一特定的應用來使用特定的代理模塊。代理服務由用戶端的代理客戶和防火墻端的代理服務器兩部分組成,其不僅能理解數據包頭的信息,還能理解應用信息本身的內容。當一個遠程用戶連接到某個運行代理服務的網絡時,防火墻端的代理服務器即進行連接,IP報文即不再向前轉發而進入內網。
代理服務通常被認為是最安全的防火墻技術,因為代理服務有能力支持可靠的用戶認證并提供詳細的注冊信息。
代理服務的代理工作在客戶機和服務器之間,具有完全控制會話和提供詳細日志、安全審計的功能,而且代理服務器的配置可以隱藏內網的IP地址,保護內部主機免受外部的攻擊。此外,代理服務還可以過濾協議,如過濾FTP連接,拒絕使用PUT命令等,以保證用戶不將文件寫到匿名的服務器上去。
代理服務在轉發網絡數據包的方式與包過濾防火墻也不同,包過濾防火墻是在網絡層轉發網絡數據包,而代理服務則在應用層轉發網絡訪問。
以上介紹了兩種防火墻技術。由于此項技術在網絡安全中具有不可替代的作用,因而在最近十多年里得到了較大的發展,已有四類防火墻在流行,即包過濾防火墻、代理防火墻、狀態檢測防火墻和第四代防火墻。4.2.防病毒技術
Internet在為人類傳播和交換信息的同時,也為計算機病毒的傳播和發展提供了良好的平臺,針對網絡的病毒正以驚人的速度,向著更具破壞性、更加隱蔽、感染率更高、傳播速度更快、更多種類、適應平臺更廣泛的方向發展。計算機網絡安全防范的一項重要內容,就是在充分保證計算機網絡安全和對計算機網絡性能影響最小的前提下,有效地防止計算機病毒的侵襲。
4.3.加強計算機網絡安全的對策措施
4.3.1 加強網絡安全教育和管理
對工作人員結合機房、硬件、軟件、數據和網絡等各個方面安全問題,進行安全教育,提高工作人員的安全觀念和責任心;加強業務、技術的培訓,提高操作技能;教育工作人員嚴格遵守操作規程和各項保密規定,防止人為事故的發生。同時,要保護傳輸線路安全。對于傳輸線路,應有露天保護措施或埋于地下,并要求遠離各種輻射源,以減少各種輻__射引起的數據錯誤;線纜鋪設應當盡可能使用光纖,以減少各種輻射引起的電磁泄漏和對發送線路的干擾。要定期檢查連接情況,以檢測是否有搭線竊聽、非法外連或破壞行為。
4.3.2 運用網絡加密技術
網絡信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。加密數據傳輸主要有三種:①鏈接加密。在網絡節點間加密,在節點間傳輸加密的信息,傳送到節點后解密,不同節點間用不同的密碼。②節點加密。與鏈接加密類似,不同的只是當數據在節點間傳送時,不用明碼格式傳送,而是用特殊的加密硬件進行解密和重加密,這種專用硬件通常放置在安全保險箱中。③首尾加密。對進入網絡的數據加密,然后待數據從網絡傳送出后再進行解密。網絡的加密技術很多,在實際應用中,人們通常根據各種加密算法結合在一起使用,這樣可以更加有效地加強網絡的完全性。網絡加密技術也是網絡安全最有效的技術之一。既可以對付惡意軟件攻擊,又可以防止非授權用戶的訪問。
4.3.3 加強計算機網絡訪問控制:
訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非正常訪問,也是維護網絡系統安全、保護網絡資源的重要手段。訪問控制技術主要包括入網訪問控制、網絡的權限控制、目錄級安全控制、屬性安全控制、網絡服務器安全控制、網絡監測和鎖定控制、網絡端口和節點的安全控制。根據網絡安全的等級、網絡空間的環境不同,可靈活地設置訪問控制的種類和數量。
4.3.4 使用防火墻技術:
采用防火墻技術是解決網絡安全問題的主要手段。防火墻技術是建立在現代通信網絡技術和信息技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯環境之中。防火墻是在網絡之間執行訪問控制策略的系統,通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況。具備檢查、阻止信息流通過和允許信息流通過兩種管理機制,并且本身具有較強的抗攻擊能力。在邏輯上,防火墻是一個分離器、限制器和分析器,可以有效地監控內部網和Internet 之間的任何活動,保證內部網絡的安全。防火墻的應用可最大限度地保障網絡的正常運行,它可以起著提高內部網絡的安全性、強化網絡安全策略、防止內部信息泄漏、網絡防毒、信息加密、存儲通信、授權、認證等重要作用。
總之,網絡安全是一個綜合性的課題,涉及技術、管理、使用等諸多方面,既包括信息系統本身的安全問題,也有物理的和邏輯的技術措施。因此,只有綜合采取多種防范措施,制定嚴格的保密政策和明晰的安全策略,才能完好、實時地保證信息的機密性、完整性和可用性,為網絡提供強大的安全保證。
05計算機網絡的安全策略
5.4.1物理安全策略。物理安全策略目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。物理安全策略還包括加強網絡的安全管理,制定有關規章制度,對于確保網絡的安全、可靠地運行,將起到十分有效的作用。網絡安全管理策略包括:確定安全管理等級和安全管理范圍;
5.4.2常用的網絡安全技術。
5.2.1 網絡加密技術。網絡加密技術是網絡安全最有效的技術之一。一個加密網絡,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件的有效方法之一。網絡信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網絡加密常用的方法有鏈路加密,端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數據提供加密保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供加密保護。用戶可根據網絡情況選擇上述三種加密方式。
如果按照收發雙方的密鑰是否相同來分類,可以將這些加密算法分為常規密碼算法和公鑰密碼算法。在實際應用中,人們通常將常規密碼和公鑰密碼結合在一起使用,比如:利用DES 或者IDEA 來加密信息,而采用RSA 來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密算法分為序列密碼算法和分組密碼算法,前者每次只加密一個比特。
5.2.2 防火墻技術。防火墻技術是設置在被保護網絡和外界之間的一道屏障,是通過計算機硬件和軟件的組合來建立起一個安全網關,從而保護內部網絡免受非法用戶的入侵,它可以通過鑒別、限制,更改跨越防火墻的數據流,來保證通信網絡的安全對今后計算機通信網絡的發展尤為重要。
根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型、網絡地址轉換—NAT、代理型和狀態監測型。
5.2.3 操作系統安全內核技術。操作系統安全內核技術除了在傳統網絡安全技術上著手,人們開始在操作系統的層次上考慮網絡安全性,嘗試把系統內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統更安全。操作系統平臺的安全措施包括:采用安全性較高的操作系統;對操作系統的安全配置;利用安全掃描系統檢查操作系統的漏洞等。美國國防部技術標準把操作系統的安全等級分成了D1、C1、C2、B1、B2、B3、A 級,其安全等級由低到高。目前主要的操作系統的安全等級都是C2 級,其特征包括:①用戶必須通過用戶注冊名和口令讓系統識別;②系統可以根據用戶注冊名決定用戶訪問資源的權限;③系統可以對系統中發生的每一件事進行審核和記錄;④可以創建其他具有系統管理權限的用戶。
5.2.5 身份驗證技術身份驗證技術。身份驗證技術身份驗證技術是用戶向系統出示自己身份證明的過程。身份認證是系統查核用戶身份證明的過程。這兩個過程是判明和確認通信雙方真實身份的兩個重要環節,人們常把這兩項工作統稱為身份驗證。它的安全機制在于首先對發出請求的用戶進行身份驗證,確認其是否為合法的用戶,如是合法用戶,再審核該用戶是否有權對他所請求的服務或主機進行訪問。從加密算法上來講,其身份驗證是建立在對稱加密的基礎上的。
5.2.6 網絡防病毒技術。在網絡環境下,計算機病毒具有不可估量的威脅性和破壞力。CIH 病毒及愛蟲病毒就足以證明如果不重視計算機網絡防病毒,那可能給社會造成災難性的后果,因此計算機病毒的防范也是網絡安全技術中重要的一環。網絡防病毒技術的具體實現方法包括對網絡服務器中的文件進行頻繁地掃描和監測,工作站上采用防病毒芯片和對網絡目錄及文件設置訪問權限等。防病毒必須從網絡整體考慮,從方便管理人員的能,在夜間對全網的客戶機進行掃描,檢查病毒情況;利用在線報警功能,網絡上每一臺機器出現故障、病毒侵入時,網絡管理人員都能及時知道,從而從管理中心處予以解決。06結束語
隨著信息技術的飛速發展,影響通信網絡安全的各種因素也會不斷強化,因此計算機網絡的安全問題也越來越受到人們的重視,以上我們簡要的分析了計算機網絡存在的幾種安全隱患,并探討了計算機網絡的幾種安全防范措施。
總的來說,網絡安全不僅僅是技術問題,同時也是一個安全管理問題。我們必須綜合考慮安全因素,制定合理的目標、技術方案和相關的配套法規等。世界上不存在絕對安全的網絡系統,隨著計算機網絡技術的進一步發展,網絡安全防護技術也必然隨著網絡應用的發展而不斷發展。
參考文獻
[1]吳鈺鋒,劉泉,李方敏.網絡安全中的密碼技術研究及其應用[J].真空電子技術,2004.[2]楊義先.網絡安全理論與技術[M].北京:人民郵電出版社,2003.[3]李學詩.計算機系統安全技術[M].武漢:華中理工大學出版社,2003.
第五篇:網絡安全技術
網絡安全技術
——防火墻技術與病毒
摘 要:
計算機網絡安全,指致力于解決諸如如何有效進行介入控制,以及如何保證數據傳輸的安全性的技術手段。而計算機網絡安全主要包括計算機網絡安全的概況、虛擬網技術、防火墻技術、入侵檢測技術, 安全掃描技術, 電子認證和數字簽名技術.VPN技術、數據安全、計算機病毒等。防火墻技術作為時下比較成熟的一種網絡安全技術,其安全性直接關系到用戶的切身利益。針對網絡安全獨立元素——防火墻技術,通過對防火墻日志文件的分析,設計相應的數學模型和軟件雛形,采用打分制的方法,判斷系統的安全等級,實現對目標網絡的網絡安全風險評估,為提高系統的安全性提供科學依據。本文將以最常見的WORD宏病毒為例來解釋計算機病毒傳播過程。
關鍵詞:網絡安全 防火墻技術 計算機病毒
1.1 研究背景
隨著互聯網的普及和發展,尤其是Internet的廣泛使用,使計算機應用更加廣泛與深入。同時,我們不得不注意到,網絡雖然功能強大,也有其脆弱易受到攻擊的一面。據美國FBI統計,美國每年因網絡安全問題所造成的經濟損失高達75億美元,而全求平均每20秒鐘就發生一起Internet計算機侵入事件。在我國,每年因黑客入侵、計算機病毒的破壞也造成了巨大的經濟損失。人們在利用網絡的優越性的同時,對網絡安全問題也決不能忽視。如何建立比較安全的網絡體系,值得我們關注研究。
1.2 計算機病毒簡介
計算機病毒是指那些具有自我復制能力的計算機程序, 它能影響計算機軟件、硬件的正常運行, 破壞數據的正確與完整。計算機病毒的來源多種多樣, 有的是計算機工作人員或業余愛好者為了純粹尋開心而制造出來的;有的則是軟件公司為保護自己的產品被非法拷貝而制造的報復性懲罰, 因為他們發現病毒比加密對付非法拷貝更有效且更有威脅, 這種情況助長了病毒的傳播。還有一種情況就是蓄意破壞, 它分為個人行為和政府行為兩種, 個人行為多為雇員對雇主的報復行為, 而政府行為則是有組織的戰略戰術手段。另外有的病毒還是用于研究或實驗而設計的“有用”程序, 由于某種原因失去控制擴散出實驗室, 從而成為危害四方的計算機病毒。
1987 年, 計算機用戶忽然發現, 在世界的各個角落, 幾乎同時出現了形形色色的計算機病毒。Brain, Lenig h, IBM 圣誕樹, 黑色星期五, 特別是近期發現的幾種病毒, 其名氣也最大, 它們是: 臺灣一號病毒、DIR-Ⅱ病毒、幽靈病毒、米開朗基羅病毒等, 至今, 病毒種類已超過一萬種。
1988 年底, 我國國家統計系統發現小球病毒。隨后, 中國有色金屬總公司所屬昆明、天津、成都等地的一些單位, 全國一些科研部門和國家機關也相繼發現病毒入侵。自從“中國炸彈”病毒出現后,已發現越來越多的國產病毒。比如目前國內主要有:感染Window s3.x 的“V3783”,感染Window s95/ 98的“CIH”病毒。
縱觀計算機病毒的發展歷史, 我們不難看出, 計算機病毒已從簡單的引導型、文件型病毒或它們的混合型發展到了多形性病毒、欺騙性病毒、破壞性病毒。已從攻擊安全性較低的DOS平臺發展到攻擊安全性較高的Window s95/ 98平臺;從破壞磁盤數據發展到直接對硬件芯片進行攻擊。1995 年宏病毒的出現, 使病毒從感染可執行文件過渡到感染某些非純粹的數據文件。最近有資料顯示已發現JAVA病毒, 各種跡象表明病毒正向著各個領域滲透, 這些新病毒更隱秘, 破壞性更強。
計算機病毒的種類很多, 不同種類的病毒有著各自不同的特征, 它們有的以感染文件為主、有的以感染系統引導區為主, 大多數病毒只是開個小小的玩笑。
按傳染方式分類可分為引導型病毒、文件型病毒和混合型病毒3種。引導型病毒主要是感染磁盤的引導區, 系統從包含了病毒的磁盤啟動時傳播, 它一般不對磁盤文件進行感染;文件型病毒一般只傳染磁盤上的可執行文件(COM, EXE), 其特點是附著于正常程序文件, 成為程序文件的一個外殼或部件;混合型病毒則兼有以上兩種病毒的特點, 既感染引導區又感染文件, 因此擴大了這種病毒的傳染途徑。
按連接方式分類可分為源碼型病毒、入侵型病毒和操作系統型病毒等3 種。其中源碼型病毒主要攻擊高級語言編寫的源程序, 它會將自己插入到系統的源程序中, 并隨源程序一起編譯、連接成可執行文件, 從而導致剛剛生成的可執行文件直接帶毒;入侵型病毒用自身代替正常程序中的部分模塊或堆棧區的病毒, 它只攻擊某些特定程序, 針對性強;操作系統型病毒是用其自身部分加入或替代操作系統的部分功能, 危害性較大。
病毒按程序運行平臺分類可分為DOS 病毒、Windows 病毒、WindowsNT病毒、OS/2 病毒等, 它們分別是發作于DOS,Windows9X,WindowsNT, OS/2等操作系統平臺上的病毒。而計算機病毒的主要危害:不同的計算機病毒有不同的破壞行為, 其中有代表性的行為如下: 一是攻擊系統數據區, 包括硬盤的主引導扇區、Boot 扇區、FAT 表、文件目錄。一般來說, 攻擊系統數據區的病毒是惡性病毒, 受損的數據不易恢復。二是攻擊文件, 包括刪除、改名、替換文件內容、刪除部分程序代碼、內容顛倒、變碎片等等。三是攻擊內存。
1.3防火墻概述
隨著Internet的迅速發展,網絡應用涉及到越來越多的領域,網絡中各類重要的、敏感的數據逐漸增多;同時由于黑客入侵以及網絡病毒的問題,使得網絡安全問題越來越突出。因此,保護網絡資源不被非授權訪問,阻止病毒的傳播感染顯得尤為重要。就目前而言,對于局部網絡的保護,防火墻仍然不失為一種有效的手段,防火墻技術主要分為包過濾和應用代理兩類。其中包過濾作為最早發展起來的一種技術,其應用非常廣泛。
防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發生不可預測的、潛在破壞性的侵入。[4]防火墻是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口,能根據企業的安全政策控制(允許、拒絕、監測)出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。防火墻提供信息安全服務,是實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器,一個限制器,也是一個分析器,它有效地監控了內部網絡和互聯網之間的任何活動,保證了內部網絡的安全。
2.防火墻的原理及分類
顧名思義,包過濾防火墻[9]就是把接收到的每個數據包同預先設定的包過濾規則相比較,從而決定是否阻塞或通過。過濾規則是基于網絡層IP包包頭信息的比較。包過濾防火墻工作在網絡層,IP包的包頭中包含源、目的IP地址,封裝協議類型(TCP,UDP,ICMP或IP Tunnel),TCP/UDP端口號,ICMP消息類型,TCP包頭中的ACK等等。如果接收的數據包與允許轉發的規則相匹配,則數據包按正常情況處理;如果與拒絕轉發的規則相匹配,則防火墻丟棄數據包;如果沒有匹配規則,則按缺省情況處理。包過濾防火墻是速度最快的防火墻,這是因為它處于網絡層,并且只是粗略的檢查連接的正確性,所以在一般的傳統路由器上就可以實現,對用戶來說都是透明的。但是它的安全程度較低,很容易暴露內部網絡,使之遭受攻擊。例如,HTTP。通常是使用80端口。如果公司的安全策略允許內部員工訪問網站,包過濾防火墻可能設置允所有80端口的連接通過,這時,意識到這一漏洞的外部人員可以在沒有被認證的情況下進入私有網絡。包過濾防火墻的維護比較困難,定義過濾規則也比較復雜,因為任何一條過濾規則的不完善都會給網絡黑客造成可乘之機。同時,包過濾防火墻一般無法提供完善的日志。
應用級代理技術通過在OSI的最高層檢查每一個IP包,從而實現安全策略。代理技術與包過濾技術完全不同,包過濾技術在網絡層控制所有的信息流,而代理技術一直處理到應用層,在應用層實現防火墻功能。它的代理功能,就是在防火墻處終止客戶連接并初始化一個新的連接到受保護的內部網絡。這一內建代理機制提供額外的安全,這是因為它將內部和外部網絡隔離開來,使網絡外部的黑客在防火墻內部網絡上進行探測變得困難,更重要的是能夠讓網絡管理員對網絡服務進行全面的控制。但是,這將花費更多的處理時間,并且由于代理防火墻支持的應用有限,每一種應用都需要安裝和配置不同的應用代理程序。比如訪問WEB站點的HTTP,用于文件傳輸的FTP,用于E一MAIL的SMTP/POP3等等。如果某種應用沒有安裝代理程序,那么該項服務就不被支持并且不能通過防火墻進行轉發;同時升級一種應用時,相應的代理程序也必須同時升級。
代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人將它歸于應用級網關一類。它是針對數據包過濾[10]和應用網關技術存在的缺點而引入的防火墻技術,其特點是將所有跨越防火墻的網絡通信鏈路分為兩段。防火墻內外計算機系統間應用層的“鏈接”,由兩個終止代理服務器上的“鏈接”來實現,外部計算機的網絡鏈路只能到達代理服務器,從而起到了隔離防火墻內外計算機系統的作用。此外,代理服務也對過往的數據包進行分析、注冊登記,形成報告,同時當發現被攻擊跡象時會向網絡管理員發出警報,并保留攻擊痕跡。應用代理型防火墻是內部網與外部網的隔離點,起著監視和隔絕應用層通信流的作用。同時 也常結合入過濾器的功能。它工作在OSI模型的最高層,掌握著應用系統中可用作安全決策的全部信息。
復合型防火墻:由于對更高安全性的要求,常把基于包過濾的方法與基于應用代理的方法結合起來,形成復合型防火墻產品。這種結合通常是以下兩種方案。屏蔽主機防火墻體系結構,在該結構中,分組過濾路由器或防火墻與Internet相連,同時一個堡壘機安裝在內部網絡,通過在分組過濾器路由器或防火墻上過濾規則的設置,使堡壘機成為Internet上其他節點所能到達的唯一節點,這確保了內部網絡不受未授權外部用戶的攻擊。屏蔽子網防火墻體系結構:堡壘機放在一個子網內,形成非軍事化區,兩個分組過濾路由器放在這一子網的兩端,使這一子網與Internet及內部網絡分離。在屏蔽子網防火墻體系結構中,堡壘機和分組過濾路由器共同構成了整個防火墻的安全基礎。執行save命令保存退出后就可以在企業外網出口指定IP時實現防火墻數據轉發以及安全保護功能了。
3.1防火墻包過濾技術發展趨勢
(1)安全策略功能
一些防火墻廠商把在AAA系統上運用的用戶認證及其服務擴展到防火墻中,使其擁有可以支持基于用戶角色的安全策略功能。該功能在無線網絡應用中非常必要。具有用戶身份驗證的防火墻通常是采用應用級網關技術的,包過濾技術的防火墻不具有。用戶身份驗證功能越強,它的安全級別越高,但它給網絡通信帶來的負面影響也越大,因為用戶身份驗證需要時間,特別是加密型的用戶身份驗證。
(2)多級過濾技術
所謂多級過濾技術,是指防火墻采用多級過濾措施,并輔以鑒別手段。在分組過濾(網絡層)一級,過濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級,遵循過濾規則,過濾掉所有禁止出或/和入的協議和有害數據包如nuke包、圣誕樹包等;在應用網關(應用層)一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所用通用服務。這是針對以上各種已有防火墻技術的不足而產生的一種綜合型過濾技術,它可以彌補以上各種單獨過濾技術的不足。
這種過濾技術在分層上非常清楚,每種過濾技術對應于不同的網絡層,從這個概念出發,又有很多內容可以擴展,為將來的防火墻技術發展打下基礎。
(3)功能擴展
功能擴展是指一種集成多種功能的設計趨勢,包括VPN、AAA、PKI、IPSec等附加功能,甚至防病毒、入侵檢測這樣的主流功能,都被集成到防火墻產品中了,很多時候我們已經無法分辨這樣的產品到底是以防火墻為主,還是以某個功能為主了,即其已經逐漸向我們普遍稱之為IPS(入侵防御系統)的產品轉化了。有些防火墻集成了防病毒功能,通常被稱之為“病毒防火墻”,當然目前主要還是在個人防火墻中體現,因為它是純軟件形式,更容易實現。這種防火墻技術可以有效地防止病毒在網絡中的傳播,比等待攻擊的發生更加積極。擁有病毒防護功能的防火墻可以大大減少公司的損失。
3.1防火墻的體系結構發展趨勢
隨著網絡應用的增加,對網絡帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數據。另外,在以后幾年里,多媒體應用將會越來越普遍,它要求數據穿過防火墻所帶來的延遲要足夠小。為了滿足這種需要,一些防火墻制造商開發了基于ASIC的防火墻和基于網絡處理器的防火墻。從執行速度的角度看來,基于網絡處理器的防火墻也是基于軟件的解決方案,它需要在很大程度上依賴于軟件的性能,但是由于這類防火墻中有一些專門用于處理數據層面任務的引擎,從而減輕了CPU的負擔,該類防火墻的性能要比傳統防火墻的性能好許多。
與基于ASIC的純硬件防火墻相比,基于網絡處理器的防火墻具有軟件色彩,因而更加具有靈活性。基于ASIC的防火墻使用專門的硬件處理網絡數據流,比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性,這就使得它缺乏靈活性,從而跟不上防火墻功能的快速發展。理想的解決方案是增加ASIC芯片的可編程性,使其與軟件更好地配合。這樣的防火墻就可以同時滿足來自靈活性和運行性能的要求。參考文獻
[1] 艾軍.防火墻體系結構及功能分析[J].電腦知識與技術.2004,(s):79一82.[2] 高峰.許南山.防火墻包過濾規則問題的研究[M].計算機應用.2003,23(6):311一312.[3] 孟濤、楊磊.防火墻和安全審計[M].計算機安全.2004,(4):17一18.[4] 鄭林.防火墻原理入門[Z].E企業.2000.[5] 魏利華.防火墻技術及其性能研究.能源研究與信息.2004,20(l):57一62
[6] 李劍,劉美華,曹元大.分布式防火墻系統.安全與環境學報.2002,2(l):59一61
[7] 王衛平,陳文惠,朱衛未.防火墻技術分析.信息安全與通信保密.2006,(8):24一27
[8] 付歌,楊明福.一個快速的二維數據包分類算法.計算機工程.2004,30(6):76一78
[9] 付歌,楊明福,王興軍.基于空間分解的數據包分類技術.計算機工程與應用.2004(8):63一65
[10] 〕韓曉非,王學光,楊明福.位并行數據包分類算法研究.華東理工大學學報.2003,29(5):504一508
[11] 韓曉非,楊明福,王學光.基于元組空間的位并行包分類算法.計算機工程與應用.2003,(29):188一192
[12] 馮東雷,張勇,白英彩.一種高性能包分類漸增式更新算法.計算機研究與發展.2003,40(3):387一392
點擊咨詢 