时间:2022-10-07 11:55:00
导语:在防火墙技术论文的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
防火墙是当前公认的确保网络安全最有效的手段。它通过对访问权限的控制,对所涉及用户的操作进行审查和过滤,有效降低了计算机网络的安全风险。防火墙可以对内部网与互联网之间的所有活动进行即时有效的监督,不管是对运行秩序还是内部网的安全运行都能起到很好的保护作用。
1.1计算机防火墙技术
防火墙对计算机网络保护作用的实现是通过将内部网络与互联网分开来实现的,具有相当强的隔离性。在防火墙的使用上,通常都是依靠包的源地址和数据包协议等进行设置的。此外,防火墙的实现途径还有服务器的软件这种形式,不过使用频率相对少一些。防火墙在过去比较长的时间里,它的主要目的除了限制主机之外,再就是规范网络访问控制,功能相对单一和简单,不过,随着近些年网络技术的不断更新和完善,防火墙的功能越来越丰富了,集成了信息的解密、加密等多种功能,另外还具有压缩机解压这种新的功能,计算机网络的安全性因此得到了非常大的提高。
1.2防火墙的主要功能
防火墙的功能是比较多的,最主要的是以下几个方面:首先,对本机的数据进行筛选和过滤,这样可以有效避免非法信息及各种网络病毒的攻击和侵入,另外防火墙还可以对网络中部分特殊站点进行严格规范,这样可以有效避免因相关人员的无意操作所带来的网络风险。其次,防火墙能够比较彻底地拦截不安全访问,外部人员如果想进入内部网,必须先经过防火墙的审查,只有审查合格了才能够进入,在这一个环节中,那些不安全的访问用户就会被过滤掉,大大降低了网络安全的风险。再次,防火墙能够很好地保存网络运行中产生的各种信息数据,当它发现网络中出现威胁网络安全的非法活动时,能够在第一时间发出警报,并采取针对性的措施[3]。
二、结语
原文
引言
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
1.防火墙概述:
1.1什么是防火墙
防火墙是建立在两个网络边界上的实现安全策略和网络通信监控的系统或系统集,它强制执行对内部网络(如校园网)和外部网络(如Internet)的访问控制。
......
目录
引言:
1.防火墙概述
1.1什么是防火墙
1.2防火墙的四大功能
2.防火墙的分类
2.1从防火墙的软、硬件形式划分
2.2按照防火墙防御方式划分
2.3按防火墙结构划分
3.防火墙的选择
3.1总拥有成本
3.2防火墙本身是安全的
3.3管理与培训
3.4可扩充性
3.5防火墙的安全性
4.防火墙的发展前景
4.1在包过滤中引入鉴别授权机制
4.2复变包过滤技术
4.3虚拟专用防火墙(VPF)
4.4多级防火墙
结尾语
参考资料
参考文献:
(1)张炯明.安全电子商务使用技术.北京.清华大学出版社.2002.4
(2)吴应良.电子商务概论.广州.华南理工大学出版社.2003.8
(3)游梦良,李冬华.企业电子商务模式.广州.广东人民大学出版社.2001.10
(4)祁明.电子商务安全与保密[M].北京.高等教育出版社.2001.10
(5)王缜,叶林.电子商务中的安全技术.河北工业科技报.第4期.2002
[论文摘要]通过对几种不同防火墙的攻击方法和原理进行研究,针对黑客攻击的方法和原理,我们能够部署网络安全防御策略,为构建安全稳定的网络安全体系提供了理论原理和试验成果。
防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,以保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许。
从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。尽管如此,事情没有我们想象的完美,攻击我们的是人,不是机器,聪明的黑客们总会想到一些办法来突破防火墙。
一、包过滤型防火墙的攻击
包过滤技术是一种完全基于网络层的安全技术,只能根据Packet的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意入侵。
包过滤防火墙是在网络层截获网络Packet,根据防火墙的规则表,来检测攻击行为。根据Packet的源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口来过滤。所以它很容易受到如下攻击。
(一)ip欺骗
如果修改Packet的源,目的地址和端口,模仿一些合法的Packet就可以骗过防火墙的检测。如:我将Packet中的源地址改为内部网络地址,防火墙看到是合法地址就会放行。
这种攻击应该怎么防范呢?
如果防火墙能结合接口,地址来匹配,这种攻击就不能成功了。
eth1连接外部网络,eth2连接内部网络,所有源地址为内网地址的Packet一定是先到达eth2,我们配置eth1只接受来自eth2的源地址为内网地址的Packet,那么这种直接到达eth1的伪造包就会被丢弃。
(二)分片伪造
分片是在网络上传输IP报文时采用的一种技术手段,但是其中存在一些安全隐患。Ping of Death, teardrop等攻击可能导致某些系统在重组分片的过程中宕机或者重新启动。这里我们只谈谈如何绕过防火墙的检测。
在IP的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序,但是,只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时,防火墙只根据第一个分片包的Tcp信息判断是否允许通过,而其他后续的分片不作防火墙检测,直接让它们通过。
工作原理弄清楚了,我们来分析:从上面可以看出,我们如果想穿过防火墙只需要第一个分片,也就是端口号的信息符合就可以了。
那我们先发送第一个合法的IP分片,将真正的端口号封装在第二个分片中,那样后续分片包就可以直接穿透防火墙,直接到达内部网络主机,通过我的实验,观察攻击过程中交换的数据报片断,发现攻击数据包都是只含一个字节数据的报文,而且发送的次序已经乱得不可辨别,但对于服务器TCP/IP堆栈来说,它还是能够正确重组的。
二、NAT防火墙的攻击
这里其实谈不上什么攻击,只能说是穿过这种防火墙的技术,而且需要新的协议支持,因为这种方法的是为了让两个不同NAT后面的p2p软件用户可以不通过端口映射直接进行连接,我们称为UDP打洞技术。
UDP打洞技术允许在有限的范围内建立连接。STUN(The Simple Traversal of User Datagram Protocol through Network Address Translators)协议实现了一种打洞技术可以在有限的情况下允许对NAT行为进行自动检测然后建立UDP连接。在UDP打洞技术中,NAT分配的外部端口被发送给协助直接连接的第三方。在NAT后面的双方都向对方的外部端口发送一个UDP包,这样就在NAT上面创建了端口映射,双方就此可以建立连接。一旦连接建立,就可以进行直接的UDP通信了。
但是UDP连接不能够持久连接。UDP是无连接的并且没有对谁明确的通信。一般地,NAT见了的端口映射,如果一段时间不活动后就是过期。为了保持UDP端口映射,必须每隔一段时间就发送UDP包,就算没有数据的时候,只有这样才能保持UDP通信正常。另外很多防火墙都拒绝任何的外来UDP连接。
由于各方面原因,这次没有对建立TCP的连接做研究,估计是能连接的。
三、防火墙的攻击
防火墙运行在应用层,攻击的方法很多。这里就以WinGate为例。 WinGate是以前应用非常广泛的一种Windows95/NT防火墙软件,内部用户可以通过一台安装有WinGate的主机访问外部网络,但是它也存在着几个安全脆弱点。
黑客经常利用这些安全漏洞获得WinGate的非授权Web、Socks和Telnet的访问,从而伪装成WinGate主机的身份对下一个攻击目标发动攻击。因此,这种攻击非常难于被跟踪和记录。
导致WinGate安全漏洞的原因大多数是管理员没有根据网络的实际情况对WinGate防火墙软件进行合理的设置,只是简单地从缺省设置安装完毕后就让软件运行,这就让攻击者可从以下几个方面攻击:
(一)非授权Web访问
某些WinGate版本(如运行在NT系统下的2.1d版本)在误配置情况下,允许外部主机完全匿名地访问因特网。因此,外部攻击者就可以利用WinGate主机来对Web服务器发动各种Web攻击( 如CGI的漏洞攻击等),同时由于Web攻击的所有报文都是从80号Tcp端口穿过的,因此,很难追踪到攻击者的来源。
检测WinGate主机是否有这种安全漏洞的方法如下:
(1)以一个不会被过滤掉的连接(譬如说拨号连接)连接到因特网上。
(2)把浏览器的服务器地址指向待测试的WinGate主机。
如果浏览器能访问到因特网,则WinGate主机存在着非授权Web访问漏洞。
(二)非授权Socks访问
在WinGate的缺省配置中,Socks(1080号Tcp端口)同样是存在安全漏洞。与打开的Web(80号Tcp端口)一样,外部攻击者可以利用Socks访问因特网。
转贴于
(三)非授权Telnet访问
它是WinGate最具威胁的安全漏洞。通过连接到一个误配置的WinGate服务器的Telnet服务,攻击者可以使用别人的主机隐藏自己的踪迹,随意地发动攻击。
检测WinGate主机是否有这种安全漏洞的方法如下:
1)使用telnet尝试连接到一台WinGate服务器。
[root@happy/tmp]#telnet172.29.11.191
Trying172.29.11.191….
Connectedto172.29.11.191.
Escapecharacteris'^]'.
Wingate>10.50.21.5
2)如果接受到如上的响应文本,那就输入待连接到的网站。
3)如果看到了该新系统的登录提示符,那么该服务器是脆弱的。
Connectedtohost10.50.21.5…Connected
SunOS5.6
Login:
其实只要我们在WinGate中简单地限制特定服务的捆绑就可以解决这个问题。
四、监测型防火墙的攻击
一般来说,完全实现了状态检测技术防火墙,智能性都比较高,普通的扫描攻击还能自动的反应。但是这样智能的防火墙也会受到攻击!
(一)协议隧道攻击
协议隧道的攻击思想类似与VPN的实现原理,攻击者将一些恶意的攻击Packet隐藏在一些协议分组的头部,从而穿透防火墙系统对内部网络进行攻击。
比如说,许多简单地允许ICMP回射请求、ICMP回射应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。Loki和lokid(攻击的客户端和服务端)是实施这种攻击的有效的工具。在实际攻击中,攻击者首先必须设法在内部网络的一个系统上安装上lokid服务端,而后攻击者就可以通过loki客户端将希望远程执行的攻击命令(对应IP分组)嵌入在ICMP或UDP包头部,再发送给内部网络服务端lokid,由它执行其中的命令,并以同样的方式返回结果。
由于许多防火墙允许ICMP和UDP分组自由出入,因此攻击者的恶意数据就能附带在正常的分组,绕过防火墙的认证,顺利地到达攻击目标主机。
(二)利用FTP-pasv绕过防火墙认证的攻击
FTP-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如CheckPoint的Firewall-1,在监视FTP服务器发送给客户端的包的过程中,它在每个包中寻找“227”这个字符串。如果发现这种包,将从中提取目标地址和端口,并对目标地址加以验证,通过后,将允许建立到该地址的TCP连接。
攻击者通过这个特性,可以设法连接受防火墙保护的服务器和服务。
五、通用的攻击方法
(一)木马攻击
反弹木马是对付防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机,由于连接是从内部发起的,防火墙(任何的防火墙)都认为是一个合法的连接,因此基本上防火墙的盲区就是这里了。防火墙不能区分木马的连接和合法的连接。
说一个典型的反弹木马,目前变种最多有“毒王”之称的“灰鸽子”,该木马由客户端主动连接服务器,服务器直接操控。非常方便。
(二)d.o.s拒绝服务攻击
简单的防火墙不能跟踪 tcp的状态,很容易受到拒绝服务攻击,一旦防火墙受到d.o.s攻击,它可能会忙于处理,而忘记了自己的过滤功能。简单的说明两个例子。
Land(Land Attack)攻击:在Land攻击中,黑客利用一个特别打造的SYN包,它的源地址和目标地址都被设置成某一个服务器地址进行攻击。此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时,在Land攻击下,许多UNIX将崩溃,NT变得极其缓慢。
IP欺骗DOS攻击:这种攻击利用TCP协议栈的RST位来实现,使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。假设现在有一个合法用户(a.a.a.a)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为a.a.a.a,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从a.a.a.a发送的连接有错误,就会清空缓冲区中已建立好的连接。这时,合法用户a.a.a.a再发送合法数据,服务器就已经没有这样的连接了,该用户就被拒绝服务而只能重新开始建立新的连接。
六、结论
我们必须承认以现在的防火墙技术,无法给我们一个相当安全的网络。网络中是没有百分之百安全的,由于我们面对的黑客都属于聪明的高技术性计算机专家,攻击时的变数太大,所以网络安全不可能单靠防火墙来实现,只可能通过不断完善策略、协议等根本因素才行。
在防火墙目前还不算长的生命周期中,虽然问题不断,但是,它也在科学家的苦心经营下不断自我完善,从单纯地拦截一次来自黑客的恶意进攻,逐步走向安全事件管理及安全信息管理的大路,并将最终汇入网络安全管理系统的大海,这应该是一种历史的必然。一旦防火墙把网络安全管理当作自我完善的终极目的,就等同于将发展的方向定位在了网络安全技术的制高点,如果成功,防火墙将成为未来网络安全技术中不可缺少的一部分。
参考文献
[1]W.Richard As.TCP/IP详解 卷一:协议[M].机械工业出版社,2000.
[2]黎连业,张维.防火墙及其应用技术[M].北京:清华大学,2004.
[3]Marcus Goncalves. 防火墙技术指南[M].北京:机械工业出版社,2000.
论文摘要:本文在阐述计算机网络的基础上分析了当前计算机系统安全及网络安全等问题,提出了一些相应的防范措施,提出了计算机网络信息安全应注重研究的几个问题。
随着国际互联网的迅猛发展,世界各国遭受计算机病毒感染和黑客攻击的事件屡屡发生,严重地干扰了正常的人类社会生活。因此,加强网络的安全显得越来越重要,防范计算机病毒将越来越受到世界各国的高度重视。
一、计算机病毒
计算机病毒就是指编制或在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码。计算机病毒的特性表现为传染性、隐蔽性、潜伏性和破坏性。计算机病毒的检测方法主要有人工方法、自动检测(用反病毒软件)和防病毒卡。
二、计算机系统安全
计算机信息系统的安全保护包括计算机的物理组成部分、信息和功能的安全保护。
1、实体安全
计算机主机及外设的电磁干扰辐射必须符合国家标准或军队标准的要求。系统软件应具备以下安全措施:操作系统应有较完善的存取控制功能,以防止用户越权存取信息;应有良好的存贮保护功能,以防止用户作业在指定范围以外的存贮区域进行读写;还应有较完善的管理能力,以记录系统的运行情况,监测对数据文件的存取。
2、输入输出控制
数据处理部门的输出控制应有专人负责,数据输出文件在发到用户之前,应由数据处理部门进行审核,输出文件的发放应有完备手续,计算机识别用户的最常用的方法是口令,所以须对口令的产生、登记、更换期限实行严格管理。系统应能跟踪各种非法请求并记录某些文件的使用情况,识别非法用户的终端。计算机系统必须有完整的日志记录,每次成功地使用,都要记录节点名、用户名、口令、终端名、上下机时间、操作的数据或程序名、操作的类型、修改前后的数据值。
三、网络安全
计算机网络安全的目标是在安全性和通信方便性之间建立平衡。计算机的安全程度应当有一个从低、中到高的多层次的安全系统,分别对不同重要性的信息资料给与不同级别的保护。
1、计算机网络安全现状
计算机网络安全具有三个特性:
⑴保密性:网络资源只能由授权实体存取。⑵完整性:信息在存储或传输时不被修改、信息包完整;不能被未授权的第二方修改。⑶可用性:包括对静态信息的可操作性及对动态信息内容的可见性。
2、计算机网络安全缺陷
⑴操作系统的漏洞:操作系统是一个复杂的软件包,操作系统最大的漏洞是I/O处理——I/O命令通常驻留在用户内存空间,任何用户在I/O操作开始之后都可以改变命令的源地址或目的地址。⑵TCP/IP 协议的漏洞:TCP/IP协议由于采用明文传输,在传输过程中,攻击者可以截取电子邮件进行攻击,通过在网页中输入口令或填写个人资料也很容易攻击。⑶应用系统安全漏洞:WEB服务器和浏览器难以保障安全,很多人在编CGI 程序时不是新编程序,而是对程序加以适当的修改。这样一来,很多CGI 程序就难免具有相同安全漏洞。⑷安全管理的漏洞:缺少网络管理员,信息系统管理不规范,不能定期进行安全测试、检查,缺少网络安全监控等,对网络安全都会产生威胁。
3、计算机网络安全机制应具有的功能
网络安全机制应具有身份识别、存取权限控制、数字签名、审计追踪、密钥管理等功能。
4、计算机网络安全常用的防治技术
⑴加密技术:加密在网络上的作用就是防止重要信息在网络上被拦截和窃取。加密技术是实现保密性的主要手段,采用这种技术可以把重要信息或数据从一种可理解的明文形式变换成一种杂乱的、不可理解的密文形式,并以密文形式将信息在线路上传输,到达目的端口后将密文还原成明文。常见的加密技术分单密钥密码技术和公开密钥技术两种。这两种加密技术在不同方面各具优势,通常将这两种加密技术结合在一起使用。⑵防火墙技术:所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。实现防火墙的技术包括四大类——网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。防火墙的作用是防止外部用户非法使用内部网络资源,并且保护内部网络的设备不受破坏,防止内部网络的主要数据被窃取。一个防火墙系统通常由屏蔽路由器和服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据一组规则进行检查,来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项,对IP包进行过滤。
四、结论
计算机病毒在形式上越来越难以辨别,造成的危害也日益严重,这就要求网络防毒产品在技术上更先进、功能上更全面。而计算机网络安全是计算机技术快速发展过程中日益突出的问题,目前中国的科研机构正广泛开展这一方面研究,主要是反病毒研究、反黑客问题研究、计算机网络防火墙技术、加密技术、安全机制。到时,计算网络就会得到更安全的保障。
参考文献
1、陈立新:《计算机:病毒防治百事通》[M],北京:清华大学出版社,2001
第一章
网 络 安 全……………………………………………………………01
第一节、黑客的定义及其危害………………………………………………………01
1、什么是黑客?…………………………………………………………………… 01
2、黑客可以分为哪几种类型?…………………………………………………… 02
3、黑客有什么样的危害?………………………………………………………… 02
第二节、黑客常用的攻击手段……………………………………………………… 03
1、什么是后门程序?…………………………………………………………………03
2、炸弹攻击的原理是什么?…………………………………………………………03
3、什么是邮件炸弹?…………………………………………………………………03
4、什么是逻辑炸弹? …………………………………………………………………04
5、什么是聊天室炸弹?………………………………………………………………04
6、什么是拒绝服务攻击?……………………………………………………………04
7、拒绝服务攻击工具Trin00有何特点?……………………………………………05
8、你以为自己的密码很安全吗?……………………………………………………05
9、哪几类密码最危险?………………………………………………………………05
10、黑客破解密码的穷举法是怎么回事?………………………………………… 05
11、黑客破解密码的字典法是怎么回事?………………………………………… 05
12、黑客破解密码的猜测法是怎么回事?………………………………………… 06
13、什么是特洛伊木马?…………………………………………………………… 06
14、网络监听是怎么回事?………………………………………………………… 07
略…………(共五节)
摘 要
本文叙述了网络安全与防护、黑客技术、防火墙技术的概念、作用,并且介绍了网络安全的各种防护方法及防火墙技术的相关知识。
关键字
黑客 密码 防火墙 网络安全
Network security of the computer and technical research of shelter
Abstract This text has narrated network security and protecting, hacker's technology, concept, function of fire wall technology, Recommend the shelter methods and set fire wall the some relevant knowledges of technologies of network security.
Keywords Hacker Passwords Fire wall Network security
:20000多字的本科毕业论文 有参考文献
300元
备注:此文版权归本站所有;。
【关键词】防火墙;安全策略;安全意识
1、防火墙安全策略的原理
防火墙又称为防护墙,是一种介于内部网络和外部网络之间的网络安全系统。其基本作用是保护特定的网络不受非法网络或入侵者的攻击,但同时还得允许两个正常网络之间可以进行合法的通信。安全策略就是对通过防护墙的信息数据进行检验,只有符合规则或符合安全策略的合法数据才能通过防火墙的检验,进行数据通信和资源共享。
通过防火墙安全策略可以有效地控制内网用户访问外网的权限,控制内网不同安全级别的子网之间的访问权限等。同时也能够对网络设备本身进行控制,如限制哪些IP地址不能使用设备,控制网管服务器与其他设备间的互相访问等。
在具体防火墙的应用中,防火墙安全策略是对防火墙的数据流进行网络安全访问的基本手段,其决定了后续的应用数据流是否被处理。NGFW会对收到的流量进行检测,检测对象包括源\目的安全区域、源\目的地址、用户、服务和时间段等。具体步骤如下:
(1)首先是数据流先要经过防火墙;
(2)然后查找防火墙配置的安全策略,判断是否允许下一步的操作;
(3)防火墙根据安全策略定义规则对数据包进行处理。
2、安全策略的分类
安全策略大体可分为三大类:域间安全策略、域内安全策略和接口包过滤。
域间安全策略用于控制域间流量的转发,适用于接口加入不同安全区域的场景。域间安全策略按IP地址、时间段和服务、用户等多种方式匹配流量,并对符合条件的流量进行包过滤控制。其也用于控制外界与设备本身的互访,允许或拒绝与设备本身的互访。
域内安全策略与域间安全策略一样,也可以按IP地址、时间段和服务、用户等多种方式匹配流量,并对符合条件的流量进行包过滤控制。但是在企业中某些部门如财务部等重要数据所在的部门,需要防止内部员工对服务器、PC机等的恶意攻击。所以在域内应用安全策略进行IPS检测,阻断恶意员工的非法访问。
当接口未加入安全区域的情况下,通过接口包过滤控制接口接收和发送的IP报文,可以按IP地址、时间段和服务、用户等多种方式匹配流量并执行相应动作。硬件包过滤是在特定的二层硬件接口卡上实现的,用来控制接口卡上的接口可以接收哪些流量。硬件包过滤直接通过硬件实现,所以过滤速度较快。
3、安全策略的配置思路
(1)管理员应该首先明确需要划分哪几个安全区域,接口如何来连接,分别加入哪些安全区域。
(2)管理员选择根据源地址或用户来区分企业员工。
(3)先确定每个用户组的权限,然后再确定特殊用户的权限。包括用户所处的源安全区域和地址,用户需要访问的目的安全区域和地址,用户能够使用哪些服务和应用,用户的网络访问权限在哪些时间段生效等。如果想允许某种网络访问,则配置安全策略的动作为“允许”,否则为“禁止”。
(4)确定对哪些通过防火墙的流量进行内容安全监测,进行哪些内容安全检测。
(5)将上述步骤规划出的安全策略的相关参数一一列出,并将所有安全策略按照先精确,再宽泛的顺序进行排序。在配置安全策略时需要按照此顺序进行配置。
4、安全策略的具体配置
针对具体的网络拓扑结构以及对防火墙的相关要求,我们在这里对防火墙的安全策略相关配置大体如下:
(1)配置安全区域。
系统缺省已经创建了四个安全区域。如果用户还需要划分更多的安全等级,就可以自行创建新的安全区域并定义其安全级别。具体新建安全区域步骤为:选择网络/安全区域,然后单击“新建”,直接配置安全区域的相关参数即可。
(2)配置地址和地址组。
地址是IPV4地址或MAC地址的集合,地址组是地址的集合。地址包含一个或若干个IPV4地址或MAC地址,类似于一个基础组件,只需定义一次,就可以被各种策略多次引用。
(3)配置地区和地区组。
地区是以地区为单位的IP地址对象,每个地区是当前地区的公网IP地址的集合。为了进一步方便扩展和复用,设备还支持配置地区组供策略引用。配置较为灵活。
(4)配置服务和服务组。
服务是通过协议类型和端口号来确定的应用协议类型,服务组是服务和服务组的集合。其中,预定义服务是指系统缺省已经存在,可以直接选择的服务类型;自定义服务是通过指定协议类型和端口号等信息来定义的一些应用协议类型。
(5)配置应用和应用组。
应用是指用来执行某一特殊任务或用途的计算机程序。应用组是指多个应用的集合。具体通过WEB界面配置相应的服务。
(6)配置时间段。
时间段定义了时间范围,定义好的时间段被策略引用侯,可以对某一时间段内流经NGFW的流量进行匹配和控制。具体通过WEB界面进行配置相关时间段。
综上所述,我们在进一步加强网络安全的今天,就必须在增强网络安全意识的前提下,不断地加强网络安全技术。而在防火墙安全技术中,防火墙的安全配置策略就是重中之重。在实际应用过程中,要不断地进行优化处理。只有不断地的丰富和完善,我们的网络世界才会安全通畅!
参考文献:
[1] 宿洁, 袁军鹏. 防火墙技术及其进展[J]. 计算机工程与应用, 2004, 40(9):147-149.
[2] 刘克龙, 蒙杨, 卿斯汉. 一种新型的防火墙系统[J]. 计算机学报, 2000, 23(3):231-236.
[3] 翟钰, 武舒凡, 胡建武. 防火墙包过滤技术发展研究[J]. 计算机应用研究, 2004, 21(9):144-146.
[4] 林晓东, 杨义先. 网络防火墙技术[J]. 电信科学, 1997(3):41-43.
[5] 杨琼, 杨建华, 王习平,等. 基于防火墙与入侵检测联动技术的系统设计[J]. 武汉理工大学学报, 2005, 27(7):112-115.
关键词:防火墙;封包识别;内容过滤;连线跟踪
近年来防火墙对网络的保护越来越重要,特别是P2P软件越来越多的趋势下,传统防火墙并不能有效的过滤P2P软件,因此越来越多的防火墙改用Connection Classification针对整个连线进行较完整的扫描。虽然有厂商推出此类防火墙,特别针对P2P使用的动态连线端口提供了连线过滤能力,但是商业应用层防火墙的售价偏高,而且商业用的防火墙,其操作系统不对外开放,只能通过厂商的软件更新才可以升级,而P2P系统与技术的更新非常快,所以商用防火墙要一直依赖厂商推出的更新特征值或者软件升级的方式让使用者升级,使用者才有可能让所购买的防火墙可以过滤最新的P2P软件。
而本片论文所使用的是目前网络上都可以取得的Open Source套件,也有许多热心的程序员不断地更新P2P软件的特征值,让使用者可以在花费较低成本的情况下,来达到与商用防火墙相同的目的。
1Netfilter/iptables工作原理
从Linux内核2.4版本开始,内置了IP信息包过滤工具Netfilter/iptables系统,它使防火墙配置和信息包过滤变得更加容易,其中Netfilter是用来实现防火墙的过滤器,而iptables则用来指定Netfilter规则并管理内核包过滤,它为用户配置防火墙规则提供了方便,通过iptables可以加入、插入或删除内核包过滤表(链)中的规则,这些规则由Netfilter及其相关模块执行。
Netfilter是嵌入内核IP协议栈的一系列调用入口,设置在报文处理的路径上,Netfilter就是根据网络报文的流向,在以下几个点插入处理过程:
NF_IP_PRE_ROUTING,在报文作路由以前执行;
NF_IP_FORWARD,在报文转向另一个NIC以前执行;
NF_IP_POST_ROUTING,在报文流出以前执行;
NF_IP_LOCAL_IN,在流入本地的报文作路由以后执行;
NF_IP_LOCAL_OUT,在本地报流出路由前执行。
检查点分布在协议栈的流程中,流程图如下。
Netfilter框架为多种协议提供了一套类似的钩子(HOOK),用一个struct list_headnf_hooks[NPROTO][NF_MAX_HOOKS]二维数组结构存储,一维为协议族,二维为上面提到的各个调用入口。每个希望嵌入Netfilter中的模块都可以为多个协议族的多个调用点注册多个钩子函数(HOOK),这些钩子函数将形成一条函数指针链,每次协议栈代码执行到NF_HOOK()函数时,都会依次启动所有这些函数,处理参数所指定的协议栈内容。
每个注册的钩子函数经过处理后都将返回下列值之一,告知Netfilter核心代码处理结果,以便对报文采取相应的动作:
NF_ACCEPT:继续正常的报文处理;
NF_DROP:将报文丢弃;
NF_STOLEN:由钩子函数处理了该报文,不要再继续传送;
NF_QUEUE:将报文入队,通常交由用户程序处理;
NF_REPEAT:再次调用该钩子函数。
Netfilter/iptables IP信息包过滤系统是一种功能强大的工具,可用于添加、编辑和删除规则,这些规则是在做信息包过滤时,防火墙所遵循和组成的规则。
2L7-filter
L7-filter是基于连线跟踪和字符串匹配的网络应用层过滤方式,L7-filter是将网络上的封包在应用层的数据内容重新拷贝一份,然后把拷贝内容以字符串的形式与事先设定好的特征码进行匹配过滤。这里的特征码是以正则表达式的形式存放在.pat文件里(此处采用的正则表达式是version 8版本),并通过iptables命令将正则表达式预处理后,传到内核netfilter中,因而它具有更好的通用性和扩展性。
以大家常用的BT为例,如果要封锁防火墙内网的BT,执行的命令如下:
iptables -A FORWARD-m layer7 --l7proto bittorrent -j DROP
其中bittorrent表示BT协议。在/etc/l7-filter/protocols目录下,存在一个bittorrent.pat文件,文件里存放的是BT发送的封包特征码,特征码以正则表达式的形式存放。bittorrent.pat文件内容如下:
bittorrent //与.pat的文件名相同
\x13bittorrent protocol//BT 握手协议的封包特征
由于L7-filter的数据是存放在内核中的,如果系统是作为路由的功能,且联机数很大时,操作系统(linux)要为连接记录分配大量的内存空间来存放相应联机数的应用层数据。因此缓冲区的长度不宜过大,另外对于一个应用程序所发送的封包而言,其握手或协商作用的封包通常是在前几个封包,当连接正常通信时,其封包特征不是很明显,因此L7-filter只检测每个连接的前若干个封包(默认值是10个,可以通过修改/proc/net/layer7_numpackets值进行配置)。
L7-filter对封包应用层数据的预处理原理如下:
1.基于匹配是将数据当作是字符串来处理,且‘\0’(二进码00000000)是字符串结尾的标志,在拷贝应用层的封包数据中出现‘\0’时,去掉所有的‘\0’。
2.将封包应用层数据中出现的大写字符转换成小写,从而使用匹配时大小写不敏感。但是相关的匹配算法则可以实现大小写敏感。
3.L7-filter在处理.pat文件理的正则表达式时,也是先将正则表达式中出现在的大写字符转换成小写,然后检查正则表达式的格式是否出错。
3存在的不足之处
3.1存在误判
数据在网络的传输过程中,数据内容是无法估计的,基于应用层过滤的方式势必会造成误判,尽管在编辑正则表达时要求规范,但是误判还是难以避免,比如说迅雷,其发送的UDP封包的特征值是“\x32\0\0\0”,但是从上一节介绍L7-filter预处理封包是将\0去除的原则,这里的特征码的正则表达式将会被处理成“^\32”(其中^号表示数据开始位置),并将此规则用于迅雷封包的过滤,设定规则的命令为(网络环境的配置如上同):
iptables -A FORWARD-m layer7 --l7proto xunlei -j DROP
由此正则表达式可以看出,网络上的封包凡是以\x32开的数据全将被DROP(阻挡)。基于网络封包数据的不可预测性,这里假设整个网络环境中,封包中数据中每个字符出现的率是相等的,第一位数据的可能是256种(ASCII码0-255),\x32出现的机率是1/256,则采用“^\x32”的正则表达式过滤迅雷时,会阻挡掉网络中1/256的封包,这样的机率会严重影响网络的正常传输,误判非常严重。
另外,对于L7-filter对于\0字符不处理的情况下,如果P2P软件是以\0,或是以\0为特征的一部分作特征码时,L7-filter性能就非常差,并且误判也会增加。
类似的情况还有很多,例如:BT的UDP track的特征“.........\0\0\0\x01”等。
3.2过滤速率较低
在目前Linux防火墙架构中,封包必须逐一比对防火墙规则直到比对到符合的规则为止,才会停止比对。同样的Netfilter的extension matching module L7-filter也是一样,当规则使用越多,L7-filter比对的次数也越多次。与传统Layer4防火墙不同点在于L7-filter在第一次透过封包内容比对出结果后,便会在此封包所属Conntrack上增加一个辨识出来的应用软件名称,以供以后可以透过搜寻这个名称来直接比对;就如同Layer4防火墙是直接比对封包的包头来决定是否符合规则。因为将封包内容透过字符串比对是非常缓慢的。虽然有了这样的方式,但是字符串比对与传统Layer4防火墙直接比对每个封包的包头,在速度上仍有不小的差异。这种状况会随着防火墙规则数量的增加而产生性能上的落差。
4性能的改进
4.1L7-filter误判的改进
鉴于L7-filter针对数据包中‘\0’不作处理的规则,为了提高L7-filter的性能,降低针对‘\0’特征码误判率问题,我们在这里对L7-filter预处理数据内容的规则进行修改。
L7-filter在实现匹配之前,是先将数据包内容中出现的大写字母转变为小写,iptables在读.pat文件中的正则表达式时,也是先将正则表达式中出现的大写字母转变成小写,实现大小写不敏感的。但是在实际的应用中,正则表达式算法是大小写敏感的。因此我们可以将数据包中的‘\0’用一个特定的大写字母(在选择替代大写字母时,不能与正则表达中出现的特殊符号冲突,这里取N)来代替,用这个大写字母实现‘\0’匹配。因此L7-filter的字符串预处理改进为:
1.在.pat正则表达文件中,用‘\NULL’表示‘\0’,当iptables读.pat文件时,将\NULL转化成大写字母N,然后将正则表达式转到内核数据空间。(只将代表‘\0’的字符串用一个大写字来代替,而其它的没有改变,仍能保证匹配的大小不敏感。)
2.在L7-filter在组织连机的数据包时,同样要将数据中的‘\0’替换成大写字母N,但是,针对网络封包长度的特点,当封包中数据量太少的情况下,会在封包的结尾加一些‘\0’填充,来满足网络封包的最小长度要求。因此这里为了使有限的缓冲区能够存放最多的封包数量的数据和提高匹配效率,在这里先将数据包数据中结尾出现的填充字符‘\0’去掉,然后将数据封包中非填充字符‘\0’替换成大写字母N,在这里强调的是,原封包中的数据不能改动,只改动拷贝数据。
综上所述,可以看出实现L7封包数据预处理后,能够克服L7-filter不处理‘\0’的缺陷。
4.2过滤速率的改进
我们修改图1的第一个检查点(NF_IP_PRE_ROUTING)动作如图2,在第一次比对出结果后,透过将此封包所属连线的状态标示存储在Conntrack中,当之后封包进入防火墙后,可以查询此封包所属的连线是否已经有比对结果的标示存在,若有则直接取得该结果,如果没有则依照防火墙内的规则一条一条的比对。如果封包一直没有比对结果,我们可以设定一个门槛值,当每条连线比对超过这几个封包都没有结果后,我们就可以默认策略设定为ACCEPT或是DROP写入对应的Conntrack Entry中,避免封包比对没有比对规则还会不断的进入系统比对。
除了抛弃(DROP)与允许(ACCEPT)之外,我们增加另一额外的目的函数,称为STATE;当封包比对有结果后,可以将此结果透过STATE这个目标函数,将结果存入Conntrack[11]。
iptables t mangle I PREROUTING m statecheck -accept j ACCEPT
iptables t mangle I PREROUTING m statecheck -drop j ACCEPT
iptables t mangle I PREROUTING m layer7 l7proto msn-login j STATE --drop
如上前两条防火墙的规则,是在NF_IP_PRE_ROUTING检查点最前面放置两条防火墙规则,可以让封包进入PREROUTING后马上通过我们写的statecheck matching module来对比,去查询State Table中是否已经存有应对的状态,即图2增加的检查功能部分。而第三条规则代表msn-login不被允许,除此之外目标函数STATE需在应对Conntrack的状态标记为“drop”,即图2的Save State部分。后续同一连线包一进入Netfilter后,我们的statecheck matching module即可根据此状态将其丢弃,不需要再做其它规则的比较,即图2的Apply Action部分。
STATE目标函数除了“drop”外,还有其它函数可供使用,如“accept”、“MARK X”。
5结束语
随着网络的发展,未来会有越来越多的软件会使用P2P的方式做传输,相对的所使用的端口一定没有固定,甚至会伪装成其它的应用软件的端口,传统的只看固定端口来做网络安全的控管已经明显的不足。应用层防火墙的应用会越来越广,甚至在频宽管理的应用上都会采用第七层辨识的方式来控制,未来基于应用层的过滤方式只会越来越被广泛的应用。
参考文献
[1] The netfilter project team,“Linux Netfilter/iptables frameworks,” Nov 1999. [Online].省略/. [Accessed:Sep. 2004].
[2]L7-filter Classifier project team,“L7-filter Classifier,” May 2003. [Online]. Available:l7-filter.省略/. [Accessed: Oct.2004].
[3]Steve Suehring,Robert L. Ziegler著,何泾沙 等(译). Linux防火墙(第3版)[M].北京:机械工业出版社,2006.12
[4]赵炯. Linux内核完全剖析[M].北京:机械工业出版社,2006
关键词:计算机网络,防护技术,研究
随着高新技术的不断发展,计算机网络已经成为我们生活中所不可缺少的概念,然而随之而来的问题----网络安全也毫无保留地呈现在我们的面前,不论是在军事中还是在日常的生活中,网络的安全问题都是我们所不得不考虑的,只有有了对网络攻防技术的深入了解,采用有效的网络防护技术,才能保证网络的安全、畅通,保护网络信息在存储和传输的过程中的保密性、完整性、可用性、真实性和可控性,才能使我们面对网络而不致盲从,真正发挥出网络的作用。
一、计算机网络防护技术构成
(一)被动防护技术
其主要采用一系列技术措施(如信息加密、身份认证、访问控制、防火墙等)对系统自身进行加固和防护,不让非法用户进入网络内部,从而达到保护网络信息安全的目的。这些措施一般是在网络建设和使用的过程中进行规划设置,并逐步完善。因其只能保护网络的入口,无法动态实时地检测发生在网络内部的破坏和攻击的行为,所以存在很大的局限性。
( 1 )信息保密技术
密码技术是网络安全最有效的技术之一, 信息加密过程是由形形的加密算法来具体实施,它以很小的代价提供很大的安全保护。它通过信息的变换或编码,将敏感信息变成难以读懂的乱码型信息,以此来保护敏感信息的安全。在多数情况下,信息加密是保证信息机密性的惟一方法。信息加密的主要目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。
网络加密常用的方法有:链路加密、端点加密和节点加密3种。密码体制主要有分组密码体制和序列密码体制。论文参考网。
( 2 ) 信息认证技术
认证技术是网络安全的一个重要方面,属于网络安全的第一道防线。其认证机制是接收者接收信息的同时还要验证信息是否来自合法的发送者,以及该信息是否被篡改过,计算机系统是基于收到的识别信息识别用户。认证涉及多个步骤:收集认证信息、安全地传输认证信息、确定使用计算机的人(就是发送认证信息的人)。其主要目的是用来防止非授权用户或进程侵入计算机系统,保护系统和数据的安全
其主要技术手段有:用户名/密码方式;智能卡认证方式;动态口令;USB Key认证;生物识别技术。
( 3 ) 访问控制技术
访问控制是保证网络安全最重要的核心策略之一,是一种基于主机的防护技术。访问控制技术通过控制与检查进出关键服务器中的访问,保护服务器中的关键数据,其利用用户身份认证功能,资源访问权限控制功能和审计功能来识别与确认访问系统的用户,决定用户对系统资源的访问权限,并记录系统资源被访问的时间和访问者信息。其主要目的是保证网络资源不被非法使用和访问。
其主要方式有:自主访问控制、强行访问控制和信息流控制。
( 4 ) 防火墙技术
防火墙是一种网络之间的访问控制机制,它的主要目的是保护内部网络免受来自外部网络非授权访问,保护内部网络的安全。
其主要机制是在受保护的内部网和不被信任的外部网络之间设立一个安全屏障,通过监测、限制、更改、抑制通过防火墙的数据流,尽可能地对外部网络屏蔽内部网络的信息和结构,防止外部网络的未授权访问,实现内部网与外部网的可控性隔离,保护内部网络的安全。
防火墙的分类主要有:数据包过滤型防火墙、应用层网关型防火墙和状态检测型防火墙。
(二)主动防护技术
主动防护技术主要采取技术的手段如入侵取证、网络陷阱、入侵检测、自动恢复等,能及时地发现网络攻击行为并及时地采取应对措施,如跟踪和反攻击、设置网络陷阱、切断网络连接或恢复系统正常工作。实现实时动态地监视网络状态,并采取保护措施,以提供对内、外部攻击和误操作的实时保护。
( 1 )入侵取证技术
入侵取证技术是指利用计算机软硬件技术,按照符合法律规范的方式,对计算机网络入侵、破坏、欺诈、攻击等犯罪行为进行识别、保存、分析和提交数字证据的过程。
入侵取证的主要目的是对网络或系统中发生的攻击过程及攻击行为进行记录和分析,并确保记录信息的真实性与完整性(以满足电子证据的要求),据此找出入侵者或入侵的机器,并解释入侵的过程,从而确定责任人,并在必要时,采取法律手段维护自己的利益。
入侵取证技术主要包括:网络入侵取证技术(网络入侵证据的识别、获取、保存、安全传输及分析和提交技术等)、现场取证技术(内存快照、现场保存、数据快速拷贝与分析技术等)、磁盘恢复取证技术、数据还原取证技术(对网上传输的信息内容,尤其是那些加密数据的获取与还原技术)、电子邮件调查取证技术及源代码取证技术等。
( 2 ) 网络陷阱技术
网络陷阱技术是一种欺骗技术,网络安全防御者根据网络系统中存在的安全弱点,采取适当技术,伪造虚假或设置不重要的信息资源,使入侵者相信网络系统中上述信息资源具有较高价值,并具有可攻击、窃取的安全防范漏洞,然后将入侵者引向这些资源。同时,还可获得攻击者手法和动机等相关信息。这些信息日后可用来强化现有的安全措施,例如防火墙规则和IDS配置等。
其主要目的是造成敌方的信息误导、紊乱和恐慌,从而使指挥决策能力丧失和军事效能降低。论文参考网。灵活的使用网络陷阱技术可以拖延攻击者,同时能给防御者提供足够的信息来了解敌人,将攻击造成的损失降至最低。
网络陷阱技术主要包括:伪装技术(系统伪装、服务伪装等)、诱骗技术、引入技术、信息控制技术(防止攻击者通过陷阱实现跳转攻击)、数据捕获技术(用于获取并记录相关攻击信息)及数据统计和分析技术等。
( 3 ) 入侵检测技术
入侵检测的基本原理是从各种各样的系统和网络资源中采集信息(系统运行状态、网络流经的信息等),对这些信息进行分析和判断,及时发现入侵和异常的信号,为做出响应赢得宝贵时间,必要时还可直接对攻击行为做出响应,将攻击行为带来的破坏和影响降至最低。它是一种主动的入侵发现机制,能够弥补防火墙和其他安全产品的不足,为网络安全提供实时的监控及对入侵采取相应的防护手段,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测系统已经被认为是维护网络安全的第二道闸门。
其主要目的是动态地检测网络系统中发生的攻击行为或异常行为,及时发现攻击或异常行为并进行阻断、记录、报警等响应,弥补被动防御的不足之处。
入侵检测技术主要包括:数据收集技术、攻击检测技术、响应技术。
( 4 ) 自动恢复技术
任何一个网络安全防护系统都无法确保万无一失,所以,在网络系统被入侵或破坏后,如何尽快恢复就显得非常关键了。这其中的一个关键技术就是自动恢复技术,他针对服务器上的关键文件和信息进行实时地一致性检查,一旦发现文件或信息的内容、属主、时间等被非法修改就及时报警,并在极短的时间内进行恢复。论文参考网。其性能的关键是资源占有量、正确性和实时性。
其主要目的是在计算机系统和数据受到攻击的时候,能够在极短的时间内恢复系统和数据,保障系统的正常运行和数据的安全。
自动恢复技术主要包括:备份技术、冗余技术、恢复技术、远程控制技术、文件扫描与一致性检查技术等。
二、计算机网络防护过程模型
针对日益严重的网络安全问题和愈来愈突出的安全需求,人们在研究防黑技术的同时,认识到网络安全防护不是一个静态过程,而是一个包含多个环节的动态过程,并相应地提出了反映网络安全防护支柱过程的P2DR模型,其过程模型如图1所示。
图1 P2DR模型体系结构图
其过程如下所述:
1.进行系统安全需求和安全风险分析,确定系统的安全目标,设计相应的安全策略。
2.应根据确定的安全策略,采用相应的网络安全技术如身份认证技术、访问控制、网络技术,选择符合安全标准和通过安全认证的安全技术和产品,构建系统的安全防线,把好系统的入口。
3.应建立一套网络案例实时检测系统,主动、及时地检测网络系统的安全漏洞、用户行为和网络状态;当网络出现漏洞、发现用户行为或网络状态异常时及时报警。
4.当出现报警时应及时分析原因,采取应急响应和处理,如断开网络连接,修复漏洞或被破坏的系统。
随着网络技术的不断发展,我们的生活中越来越离不开网络,然而网络安全问题也日趋严重,做好网络防护已经是我们所不得不做的事情,只有采取合理有效的网络防护手段才能保证我们网络的安全、保证信息的安全,使我们真正能够用好网络,使网络为我们的生活添光添彩。
论文摘要:随着计算机信息化建设的飞速发展,计算机已普遍应用到日常工作、生活的每一个领域,比如政府机关、学校、医院、社区及家庭等。但随之而来的是,计算机网络安全也受到全所未有的威胁,计算机病毒无处不在,黑客的猖獗, 都防不胜防。
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。从技术上来说, 计算机网络安全主要由防病毒、防火墙等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、pki技术等。
一、计算机网络安全技术
(一)防火墙技术。防火墙是指一个由软件或硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。当一个网络接上internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。通过以防火墙为中心的安全方案配置,能将所有安全软件配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
(二)数据加密技术。与防火墙相比,数据加密技术比较灵活,更加适用于开放的网络。数据加密主要用于对动态信息的保护,对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密技术分为两类:即对称加密和非对称加密。
1.对称加密技术。对称加密是常规的以口令为基础的技术,加密密钥与解密密钥是相同的,或者可以由其中一个推知另一个,这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。目前,广为采用的一种对称加密方式是数据加密标准des,des的成功应用是在银行业中的电子资金转账(eft)领域中。2.非对称加密。在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥通过非保密方式向他人公开,而另一把作为私有密钥加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。
(三)pki技术。pki技术就是利用公钥理论和技术建立的提供安全服务的基础设施。pki技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而pki技术作为一种相对安全的技术,恰恰成为了电子商务、电子政务、电子事务的密码技术的首要选择,在实际的操作过程中他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题,而进一步保护客户的资料安全。
二、计算机网络安全存在的问题
(一)互联网络的不安全性。1.1网络的开放性,由于现代网络技术是全开放的,所以在一定程度上导致了网络面临着来自多方面的攻击。这其中可能存在来自物理传输线路的攻击,也有肯那个来自对网络通信协议的攻击,也包括来自于本地网络的用户,还可以是互联网上其他国家的黑客等等。1.2网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的上网,和获取各类信息。 这也为了影响网络安全的一个主要因素。
(二)操作系统存在的安全问题。操作系统作为一个支撑软件,使得你的程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,都给网络安全留下隐患。
1.操作系统结构体系的缺陷。操作系统本身有内存管理、cpu管理、外设的管理,每个管理都涉及到一些模块或程序,如果在这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接过来,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。所以,有些黑客往往是针对操作系统的不完善进行攻击,使计算机系统,特别是服务器系统立刻瘫痪。2.操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能,比如ftp,这些安装程序经常会带一些可执行文件,这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统可能就会造成崩溃。3.操作系统不安全的一个原因在于它可以创建进程,支持进程的远程创建和激活,支持被创建的进程继承创建的权利,这些机制提供了在远端服务器上安装“间谍”软件的条件。若将间谍软件以打补丁的方式“打”在一个合法用户上,特别是“打”在一个特权用户上,黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在。
(三)防火墙的局限性。防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.它是一种计算机硬件和软件的结合,使内部网与外部网之间建立起一个安全网关(security gateway),从而保护内部网免受非法用户的侵入。
三、结束语
计算机网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。此外,由于计算机病毒、计算机犯罪等技术是不分国界的,因此必须进行充分的国际合作,来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。
参考文献: