導(dǎo)語:在防火墻技術(shù)論文的撰寫旅程中���,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑���,好期刊匯集了九篇優(yōu)秀范文���,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感,引領(lǐng)您探索更多的創(chuàng)作可能���。
第1篇
防火墻是當(dāng)前公認的確保網(wǎng)絡(luò)安全最有效的手段���。它通過對訪問權(quán)限的控制,對所涉及用戶的操作進行審查和過濾���,有效降低了計算機網(wǎng)絡(luò)的安全風(fēng)險。防火墻可以對內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間的所有活動進行即時有效的監(jiān)督���,不管是對運行秩序還是內(nèi)部網(wǎng)的安全運行都能起到很好的保護作用���。
1.1計算機防火墻技術(shù)
防火墻對計算機網(wǎng)絡(luò)保護作用的實現(xiàn)是通過將內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)分開來實現(xiàn)的���,具有相當(dāng)強的隔離性。在防火墻的使用上���,通常都是依靠包的源地址和數(shù)據(jù)包協(xié)議等進行設(shè)置的���。此外,防火墻的實現(xiàn)途徑還有服務(wù)器的軟件這種形式���,不過使用頻率相對少一些���。防火墻在過去比較長的時間里,它的主要目的除了限制主機之外���,再就是規(guī)范網(wǎng)絡(luò)訪問控制���,功能相對單一和簡單,不過���,隨著近些年網(wǎng)絡(luò)技術(shù)的不斷更新和完善���,防火墻的功能越來越豐富了���,集成了信息的解密、加密等多種功能���,另外還具有壓縮機解壓這種新的功能���,計算機網(wǎng)絡(luò)的安全性因此得到了非常大的提高。
1.2防火墻的主要功能
防火墻的功能是比較多的���,最主要的是以下幾個方面:首先���,對本機的數(shù)據(jù)進行篩選和過濾,這樣可以有效避免非法信息及各種網(wǎng)絡(luò)病毒的攻擊和侵入���,另外防火墻還可以對網(wǎng)絡(luò)中部分特殊站點進行嚴格規(guī)范���,這樣可以有效避免因相關(guān)人員的無意操作所帶來的網(wǎng)絡(luò)風(fēng)險。其次���,防火墻能夠比較徹底地攔截不安全訪問,外部人員如果想進入內(nèi)部網(wǎng),必須先經(jīng)過防火墻的審查���,只有審查合格了才能夠進入���,在這一個環(huán)節(jié)中,那些不安全的訪問用戶就會被過濾掉���,大大降低了網(wǎng)絡(luò)安全的風(fēng)險���。再次,防火墻能夠很好地保存網(wǎng)絡(luò)運行中產(chǎn)生的各種信息數(shù)據(jù)���,當(dāng)它發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)威脅網(wǎng)絡(luò)安全的非法活動時���,能夠在第一時間發(fā)出警報,并采取針對性的措施[3]���。
二���、結(jié)語
第2篇
原文
引言
21世紀全世界的計算機都將通過Internet聯(lián)到一起,信息安全的內(nèi)涵也就發(fā)生了根本的變化���。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范���,而且還從一種專門的領(lǐng)域變成了無處不在���。當(dāng)人類步入21世紀這一信息社會、網(wǎng)絡(luò)社會的時候���,我國將建立起一套完整的網(wǎng)絡(luò)安全體系���,特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。
一個國家的信息安全體系實際上包括國家的法規(guī)和政策���,以及技術(shù)與市場的發(fā)展平臺���。我國在構(gòu)建信息防衛(wèi)系統(tǒng)時,應(yīng)著力發(fā)展自己獨特的安全產(chǎn)品���,我國要想真正解決網(wǎng)絡(luò)安全問題���,最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè),帶動我國網(wǎng)絡(luò)安全技術(shù)的整體提高���。
網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點:第一���,網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化,如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了���;第二���,網(wǎng)絡(luò)的安全機制與技術(shù)要不斷地變化;第三���,隨著網(wǎng)絡(luò)在社會各方面的延伸���,進入網(wǎng)絡(luò)的手段也越來越多,因此���,網(wǎng)絡(luò)安全技術(shù)是一個十分復(fù)雜的系統(tǒng)工程��。為此建立有中國特色的網(wǎng)絡(luò)安全體系��,需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā)��。安全與反安全就像矛盾的兩個方面��,總是不斷地向上攀升��,所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)��。
信息安全是國家發(fā)展所面臨的一個重要問題��。對于這個問題��,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它��,從技術(shù)上��、產(chǎn)業(yè)上��、政策上來發(fā)展它��。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分��,而且應(yīng)該看到��,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分��,甚至應(yīng)該看到它對我國未來電子化��、信息化的發(fā)展將起到非常重要的作用��。
1.防火墻概述:
1.1什么是防火墻
防火墻是建立在兩個網(wǎng)絡(luò)邊界上的實現(xiàn)安全策略和網(wǎng)絡(luò)通信監(jiān)控的系統(tǒng)或系統(tǒng)集,它強制執(zhí)行對內(nèi)部網(wǎng)絡(luò)(如校園網(wǎng))和外部網(wǎng)絡(luò)(如Internet)的訪問控制��。
......
目錄
引言:
1.防火墻概述
1.1什么是防火墻
1.2防火墻的四大功能
2.防火墻的分類
2.1從防火墻的軟��、硬件形式劃分
2.2按照防火墻防御方式劃分
2.3按防火墻結(jié)構(gòu)劃分
3.防火墻的選擇
3.1總擁有成本
3.2防火墻本身是安全的
3.3管理與培訓(xùn)
3.4可擴充性
3.5防火墻的安全性
4.防火墻的發(fā)展前景
4.1在包過濾中引入鑒別授權(quán)機制
4.2復(fù)變包過濾技術(shù)
4.3虛擬專用防火墻(VPF)
4.4多級防火墻
結(jié)尾語
參考資料
參考文獻:
(1)張炯明.安全電子商務(wù)使用技術(shù).北京.清華大學(xué)出版社.2002.4
(2)吳應(yīng)良.電子商務(wù)概論.廣州.華南理工大學(xué)出版社.2003.8
(3)游夢良,李冬華.企業(yè)電子商務(wù)模式.廣州.廣東人民大學(xué)出版社.2001.10
(4)祁明.電子商務(wù)安全與保密[M].北京.高等教育出版社.2001.10
(5)王縝,葉林.電子商務(wù)中的安全技術(shù).河北工業(yè)科技報.第4期.2002
第3篇
[論文摘要]通過對幾種不同防火墻的攻擊方法和原理進行研究��,針對黑客攻擊的方法和原理��,我們能夠部署網(wǎng)絡(luò)安全防御策略��,為構(gòu)建安全穩(wěn)定的網(wǎng)絡(luò)安全體系提供了理論原理和試驗成果��。
防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制��,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)��,訪問內(nèi)部網(wǎng)絡(luò)資源��,以保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備��。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查��,以決定網(wǎng)絡(luò)之間的通信是否被允許��。
從理論上看��,防火墻處于網(wǎng)絡(luò)安全的最底層��,負責(zé)網(wǎng)絡(luò)間的安全認證與傳輸��,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化��,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次��,不僅要完成傳統(tǒng)防火墻的過濾任務(wù)��,同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)��。盡管如此��,事情沒有我們想象的完美��,攻擊我們的是人��,不是機器��,聰明的黑客們總會想到一些辦法來突破防火墻��。
一��、包過濾型防火墻的攻擊
包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù)��,只能根據(jù)Packet的來源、目標和端口等網(wǎng)絡(luò)信息進行判斷��,無法識別基于應(yīng)用層的惡意入侵��。
包過濾防火墻是在網(wǎng)絡(luò)層截獲網(wǎng)絡(luò)Packet��,根據(jù)防火墻的規(guī)則表��,來檢測攻擊行為��。根據(jù)Packet的源IP地址��;目的IP地址��;TCP/UDP源端口��;TCP/UDP目的端口來過濾��。所以它很容易受到如下攻擊��。
(一)ip欺騙
如果修改Packet的源��,目的地址和端口��,模仿一些合法的Packet就可以騙過防火墻的檢測��。如:我將Packet中的源地址改為內(nèi)部網(wǎng)絡(luò)地址��,防火墻看到是合法地址就會放行��。
這種攻擊應(yīng)該怎么防范呢��?
如果防火墻能結(jié)合接口��,地址來匹配��,這種攻擊就不能成功了��。
eth1連接外部網(wǎng)絡(luò)��,eth2連接內(nèi)部網(wǎng)絡(luò)��,所有源地址為內(nèi)網(wǎng)地址的Packet一定是先到達eth2��,我們配置eth1只接受來自eth2的源地址為內(nèi)網(wǎng)地址的Packet��,那么這種直接到達eth1的偽造包就會被丟棄��。
(二)分片偽造
分片是在網(wǎng)絡(luò)上傳輸IP報文時采用的一種技術(shù)手段��,但是其中存在一些安全隱患。Ping of Death��, teardrop等攻擊可能導(dǎo)致某些系統(tǒng)在重組分片的過程中宕機或者重新啟動��。這里我們只談?wù)勅绾卫@過防火墻的檢測��。
在IP的分片包中��,所有的分片包用一個分片偏移字段標志分片包的順序��,但是��,只有第一個分片包含有TCP端口號的信息��。當(dāng)IP分片包通過分組過濾防火墻時��,防火墻只根據(jù)第一個分片包的Tcp信息判斷是否允許通過��,而其他后續(xù)的分片不作防火墻檢測��,直接讓它們通過��。
工作原理弄清楚了��,我們來分析:從上面可以看出��,我們?nèi)绻氪┻^防火墻只需要第一個分片��,也就是端口號的信息符合就可以了��。
那我們先發(fā)送第一個合法的IP分片��,將真正的端口號封裝在第二個分片中��,那樣后續(xù)分片包就可以直接穿透防火墻��,直接到達內(nèi)部網(wǎng)絡(luò)主機��,通過我的實驗��,觀察攻擊過程中交換的數(shù)據(jù)報片斷��,發(fā)現(xiàn)攻擊數(shù)據(jù)包都是只含一個字節(jié)數(shù)據(jù)的報文��,而且發(fā)送的次序已經(jīng)亂得不可辨別��,但對于服務(wù)器TCP/IP堆棧來說��,它還是能夠正確重組的��。
二��、NAT防火墻的攻擊
這里其實談不上什么攻擊,只能說是穿過這種防火墻的技術(shù)��,而且需要新的協(xié)議支持��,因為這種方法的是為了讓兩個不同NAT后面的p2p軟件用戶可以不通過端口映射直接進行連接��,我們稱為UDP打洞技術(shù)��。
UDP打洞技術(shù)允許在有限的范圍內(nèi)建立連接��。STUN(The Simple Traversal of User Datagram Protocol through Network Address Translators)協(xié)議實現(xiàn)了一種打洞技術(shù)可以在有限的情況下允許對NAT行為進行自動檢測然后建立UDP連接��。在UDP打洞技術(shù)中��,NAT分配的外部端口被發(fā)送給協(xié)助直接連接的第三方��。在NAT后面的雙方都向?qū)Ψ降耐獠慷丝诎l(fā)送一個UDP包��,這樣就在NAT上面創(chuàng)建了端口映射��,雙方就此可以建立連接��。一旦連接建立��,就可以進行直接的UDP通信了��。
但是UDP連接不能夠持久連接��。UDP是無連接的并且沒有對誰明確的通信��。一般地��,NAT見了的端口映射��,如果一段時間不活動后就是過期��。為了保持UDP端口映射��,必須每隔一段時間就發(fā)送UDP包��,就算沒有數(shù)據(jù)的時候��,只有這樣才能保持UDP通信正常��。另外很多防火墻都拒絕任何的外來UDP連接��。
由于各方面原因��,這次沒有對建立TCP的連接做研究��,估計是能連接的��。
三、防火墻的攻擊
防火墻運行在應(yīng)用層��,攻擊的方法很多��。這里就以WinGate為例��。 WinGate是以前應(yīng)用非常廣泛的一種Windows95/NT防火墻軟件��,內(nèi)部用戶可以通過一臺安裝有WinGate的主機訪問外部網(wǎng)絡(luò)��,但是它也存在著幾個安全脆弱點��。
黑客經(jīng)常利用這些安全漏洞獲得WinGate的非授權(quán)Web��、Socks和Telnet的訪問��,從而偽裝成WinGate主機的身份對下一個攻擊目標發(fā)動攻擊��。因此��,這種攻擊非常難于被跟蹤和記錄��。
導(dǎo)致WinGate安全漏洞的原因大多數(shù)是管理員沒有根據(jù)網(wǎng)絡(luò)的實際情況對WinGate防火墻軟件進行合理的設(shè)置��,只是簡單地從缺省設(shè)置安裝完畢后就讓軟件運行��,這就讓攻擊者可從以下幾個方面攻擊:
(一)非授權(quán)Web訪問
某些WinGate版本(如運行在NT系統(tǒng)下的2.1d版本)在誤配置情況下��,允許外部主機完全匿名地訪問因特網(wǎng)��。因此��,外部攻擊者就可以利用WinGate主機來對Web服務(wù)器發(fā)動各種Web攻擊( 如CGI的漏洞攻擊等)��,同時由于Web攻擊的所有報文都是從80號Tcp端口穿過的��,因此��,很難追蹤到攻擊者的來源��。
檢測WinGate主機是否有這種安全漏洞的方法如下:
(1)以一個不會被過濾掉的連接(譬如說撥號連接)連接到因特網(wǎng)上��。
(2)把瀏覽器的服務(wù)器地址指向待測試的WinGate主機��。
如果瀏覽器能訪問到因特網(wǎng)��,則WinGate主機存在著非授權(quán)Web訪問漏洞��。
(二)非授權(quán)Socks訪問
在WinGate的缺省配置中��,Socks(1080號Tcp端口)同樣是存在安全漏洞��。與打開的Web(80號Tcp端口)一樣,外部攻擊者可以利用Socks訪問因特網(wǎng)��。
轉(zhuǎn)貼于
(三)非授權(quán)Telnet訪問
它是WinGate最具威脅的安全漏洞��。通過連接到一個誤配置的WinGate服務(wù)器的Telnet服務(wù)��,攻擊者可以使用別人的主機隱藏自己的蹤跡��,隨意地發(fā)動攻擊��。
檢測WinGate主機是否有這種安全漏洞的方法如下:
1)使用telnet嘗試連接到一臺WinGate服務(wù)器��。
[root@happy/tmp]#telnet172.29.11.191
Trying172.29.11.191….
Connectedto172.29.11.191.
Escapecharacteris'^]'.
Wingate>10.50.21.5
2)如果接受到如上的響應(yīng)文本��,那就輸入待連接到的網(wǎng)站��。
3)如果看到了該新系統(tǒng)的登錄提示符��,那么該服務(wù)器是脆弱的��。
Connectedtohost10.50.21.5…Connected
SunOS5.6
Login:
其實只要我們在WinGate中簡單地限制特定服務(wù)的捆綁就可以解決這個問題��。
四��、監(jiān)測型防火墻的攻擊
一般來說,完全實現(xiàn)了狀態(tài)檢測技術(shù)防火墻��,智能性都比較高��,普通的掃描攻擊還能自動的反應(yīng)��。但是這樣智能的防火墻也會受到攻擊��!
(一)協(xié)議隧道攻擊
協(xié)議隧道的攻擊思想類似與VPN的實現(xiàn)原理��,攻擊者將一些惡意的攻擊Packet隱藏在一些協(xié)議分組的頭部��,從而穿透防火墻系統(tǒng)對內(nèi)部網(wǎng)絡(luò)進行攻擊��。
比如說��,許多簡單地允許ICMP回射請求��、ICMP回射應(yīng)答和UDP分組通過的防火墻就容易受到ICMP和UDP協(xié)議隧道的攻擊��。Loki和lokid(攻擊的客戶端和服務(wù)端)是實施這種攻擊的有效的工具��。在實際攻擊中��,攻擊者首先必須設(shè)法在內(nèi)部網(wǎng)絡(luò)的一個系統(tǒng)上安裝上lokid服務(wù)端��,而后攻擊者就可以通過loki客戶端將希望遠程執(zhí)行的攻擊命令(對應(yīng)IP分組)嵌入在ICMP或UDP包頭部��,再發(fā)送給內(nèi)部網(wǎng)絡(luò)服務(wù)端lokid��,由它執(zhí)行其中的命令��,并以同樣的方式返回結(jié)果��。
由于許多防火墻允許ICMP和UDP分組自由出入��,因此攻擊者的惡意數(shù)據(jù)就能附帶在正常的分組��,繞過防火墻的認證��,順利地到達攻擊目標主機��。
(二)利用FTP-pasv繞過防火墻認證的攻擊
FTP-pasv攻擊是針對防火墻實施入侵的重要手段之一��。目前很多防火墻不能過濾這種攻擊手段��。如CheckPoint的Firewall-1��,在監(jiān)視FTP服務(wù)器發(fā)送給客戶端的包的過程中��,它在每個包中尋找“227”這個字符串��。如果發(fā)現(xiàn)這種包��,將從中提取目標地址和端口��,并對目標地址加以驗證��,通過后��,將允許建立到該地址的TCP連接��。
攻擊者通過這個特性��,可以設(shè)法連接受防火墻保護的服務(wù)器和服務(wù)��。
五��、通用的攻擊方法
(一)木馬攻擊
反彈木馬是對付防火墻的最有效的方法��。攻擊者在內(nèi)部網(wǎng)絡(luò)的反彈木馬定時地連接外部攻擊者控制的主機��,由于連接是從內(nèi)部發(fā)起的��,防火墻(任何的防火墻)都認為是一個合法的連接��,因此基本上防火墻的盲區(qū)就是這里了��。防火墻不能區(qū)分木馬的連接和合法的連接��。
說一個典型的反彈木馬��,目前變種最多有“毒王”之稱的“灰鴿子”��,該木馬由客戶端主動連接服務(wù)器��,服務(wù)器直接操控��。非常方便��。
(二)d.o.s拒絕服務(wù)攻擊
簡單的防火墻不能跟蹤 tcp的狀態(tài)��,很容易受到拒絕服務(wù)攻擊��,一旦防火墻受到d.o.s攻擊��,它可能會忙于處理��,而忘記了自己的過濾功能��。簡單的說明兩個例子��。
Land(Land Attack)攻擊:在Land攻擊中��,黑客利用一個特別打造的SYN包��,它的源地址和目標地址都被設(shè)置成某一個服務(wù)器地址進行攻擊��。此舉將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息��,結(jié)果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接��,每一個這樣的連接都將保留直到超時��,在Land攻擊下��,許多UNIX將崩潰��,NT變得極其緩慢。
IP欺騙DOS攻擊:這種攻擊利用TCP協(xié)議棧的RST位來實現(xiàn)��,使用IP欺騙��,迫使服務(wù)器把合法用戶的連接復(fù)位��,影響合法用戶的連接��。假設(shè)現(xiàn)在有一個合法用戶(a.a.a.a)已經(jīng)同服務(wù)器建立了正常的連接��,攻擊者構(gòu)造攻擊的TCP數(shù)據(jù),偽裝自己的IP為a.a.a.a��,并向服務(wù)器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段��。服務(wù)器接收到這樣的數(shù)據(jù)后��,認為從a.a.a.a發(fā)送的連接有錯誤,就會清空緩沖區(qū)中已建立好的連接��。這時��,合法用戶a.a.a.a再發(fā)送合法數(shù)據(jù)��,服務(wù)器就已經(jīng)沒有這樣的連接了��,該用戶就被拒絕服務(wù)而只能重新開始建立新的連接��。
六��、結(jié)論
我們必須承認以現(xiàn)在的防火墻技術(shù)��,無法給我們一個相當(dāng)安全的網(wǎng)絡(luò)。網(wǎng)絡(luò)中是沒有百分之百安全的��,由于我們面對的黑客都屬于聰明的高技術(shù)性計算機專家�����,攻擊時的變數(shù)太大�����,所以網(wǎng)絡(luò)安全不可能單靠防火墻來實現(xiàn)�����,只可能通過不斷完善策略�����、協(xié)議等根本因素才行�����。
在防火墻目前還不算長的生命周期中�����,雖然問題不斷�����,但是�����,它也在科學(xué)家的苦心經(jīng)營下不斷自我完善�����,從單純地攔截一次來自黑客的惡意進攻�����,逐步走向安全事件管理及安全信息管理的大路�����,并將最終匯入網(wǎng)絡(luò)安全管理系統(tǒng)的大海�����,這應(yīng)該是一種歷史的必然�����。一旦防火墻把網(wǎng)絡(luò)安全管理當(dāng)作自我完善的終極目的,就等同于將發(fā)展的方向定位在了網(wǎng)絡(luò)安全技術(shù)的制高點�����,如果成功�����,防火墻將成為未來網(wǎng)絡(luò)安全技術(shù)中不可缺少的一部分�����。
參考文獻
[1]W.Richard As.TCP/IP詳解 卷一:協(xié)議[M].機械工業(yè)出版社�����,2000.
[2]黎連業(yè)�����,張維.防火墻及其應(yīng)用技術(shù)[M].北京:清華大學(xué)�����,2004.
[3]Marcus Goncalves. 防火墻技術(shù)指南[M].北京:機械工業(yè)出版社�����,2000.
第4篇
論文摘要:本文在闡述計算機網(wǎng)絡(luò)的基礎(chǔ)上分析了當(dāng)前計算機系統(tǒng)安全及網(wǎng)絡(luò)安全等問題�����,提出了一些相應(yīng)的防范措施�����,提出了計算機網(wǎng)絡(luò)信息安全應(yīng)注重研究的幾個問題�����。
隨著國際互聯(lián)網(wǎng)的迅猛發(fā)展�����,世界各國遭受計算機病毒感染和黑客攻擊的事件屢屢發(fā)生�����,嚴重地干擾了正常的人類社會生活�����。因此,加強網(wǎng)絡(luò)的安全顯得越來越重要�����,防范計算機病毒將越來越受到世界各國的高度重視�����。
一�����、計算機病毒
計算機病毒就是指編制或在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)�����,影響計算機使用�����,并能自我復(fù)制的一組計算機指令或程序代碼�����。計算機病毒的特性表現(xiàn)為傳染性�����、隱蔽性�����、潛伏性和破壞性�����。計算機病毒的檢測方法主要有人工方法�����、自動檢測(用反病毒軟件)和防病毒卡�����。
二�����、計算機系統(tǒng)安全
計算機信息系統(tǒng)的安全保護包括計算機的物理組成部分�����、信息和功能的安全保護。
1�����、實體安全
計算機主機及外設(shè)的電磁干擾輻射必須符合國家標準或軍隊標準的要求�����。系統(tǒng)軟件應(yīng)具備以下安全措施:操作系統(tǒng)應(yīng)有較完善的存取控制功能�����,以防止用戶越權(quán)存取信息�����;應(yīng)有良好的存貯保護功能�����,以防止用戶作業(yè)在指定范圍以外的存貯區(qū)域進行讀寫�����;還應(yīng)有較完善的管理能力,以記錄系統(tǒng)的運行情況�����,監(jiān)測對數(shù)據(jù)文件的存取�����。
2�����、輸入輸出控制
數(shù)據(jù)處理部門的輸出控制應(yīng)有專人負責(zé)�����,數(shù)據(jù)輸出文件在發(fā)到用戶之前�����,應(yīng)由數(shù)據(jù)處理部門進行審核�����,輸出文件的發(fā)放應(yīng)有完備手續(xù)�����,計算機識別用戶的最常用的方法是口令�����,所以須對口令的產(chǎn)生�����、登記�����、更換期限實行嚴格管理�����。系統(tǒng)應(yīng)能跟蹤各種非法請求并記錄某些文件的使用情況�����,識別非法用戶的終端�����。計算機系統(tǒng)必須有完整的日志記錄,每次成功地使用�����,都要記錄節(jié)點名�����、用戶名�����、口令�����、終端名�����、上下機時間�����、操作的數(shù)據(jù)或程序名�����、操作的類型�����、修改前后的數(shù)據(jù)值�����。
三�����、網(wǎng)絡(luò)安全
計算機網(wǎng)絡(luò)安全的目標是在安全性和通信方便性之間建立平衡�����。計算機的安全程度應(yīng)當(dāng)有一個從低�����、中到高的多層次的安全系統(tǒng)�����,分別對不同重要性的信息資料給與不同級別的保護。
1�����、計算機網(wǎng)絡(luò)安全現(xiàn)狀
計算機網(wǎng)絡(luò)安全具有三個特性:
⑴保密性:網(wǎng)絡(luò)資源只能由授權(quán)實體存取�����。⑵完整性:信息在存儲或傳輸時不被修改�����、信息包完整�����;不能被未授權(quán)的第二方修改�����。⑶可用性:包括對靜態(tài)信息的可操作性及對動態(tài)信息內(nèi)容的可見性�����。
2�����、計算機網(wǎng)絡(luò)安全缺陷
⑴操作系統(tǒng)的漏洞:操作系統(tǒng)是一個復(fù)雜的軟件包�����,操作系統(tǒng)最大的漏洞是I/O處理——I/O命令通常駐留在用戶內(nèi)存空間�����,任何用戶在I/O操作開始之后都可以改變命令的源地址或目的地址�����。⑵TCP/IP 協(xié)議的漏洞:TCP/IP協(xié)議由于采用明文傳輸�����,在傳輸過程中�����,攻擊者可以截取電子郵件進行攻擊�����,通過在網(wǎng)頁中輸入口令或填寫個人資料也很容易攻擊。⑶應(yīng)用系統(tǒng)安全漏洞:WEB服務(wù)器和瀏覽器難以保障安全�����,很多人在編CGI 程序時不是新編程序�����,而是對程序加以適當(dāng)?shù)男薷?����。這樣一來�����,很多CGI 程序就難免具有相同安全漏洞�����。⑷安全管理的漏洞:缺少網(wǎng)絡(luò)管理員�����,信息系統(tǒng)管理不規(guī)范�����,不能定期進行安全測試�����、檢查�����,缺少網(wǎng)絡(luò)安全監(jiān)控等�����,對網(wǎng)絡(luò)安全都會產(chǎn)生威脅�����。
3�����、計算機網(wǎng)絡(luò)安全機制應(yīng)具有的功能
網(wǎng)絡(luò)安全機制應(yīng)具有身份識別�����、存取權(quán)限控制、數(shù)字簽名�����、審計追蹤�����、密鑰管理等功能�����。
4�����、計算機網(wǎng)絡(luò)安全常用的防治技術(shù)
⑴加密技術(shù):加密在網(wǎng)絡(luò)上的作用就是防止重要信息在網(wǎng)絡(luò)上被攔截和竊取�����。加密技術(shù)是實現(xiàn)保密性的主要手段�����,采用這種技術(shù)可以把重要信息或數(shù)據(jù)從一種可理解的明文形式變換成一種雜亂的�����、不可理解的密文形式�����,并以密文形式將信息在線路上傳輸�����,到達目的端口后將密文還原成明文�����。常見的加密技術(shù)分單密鑰密碼技術(shù)和公開密鑰技術(shù)兩種�����。這兩種加密技術(shù)在不同方面各具優(yōu)勢�����,通常將這兩種加密技術(shù)結(jié)合在一起使用�����。⑵防火墻技術(shù):所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法�����,它實際上是一種隔離技術(shù)�����。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度�����,它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)�����,同時將你“不同意”的人和數(shù)據(jù)拒之門外�����,阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)�����,防止他們更改、拷貝�����、毀壞你的重要信息�����。實現(xiàn)防火墻的技術(shù)包括四大類——網(wǎng)絡(luò)級防火墻(也叫包過濾型防火墻)�����、應(yīng)用級網(wǎng)關(guān)�����、電路級網(wǎng)關(guān)和規(guī)則檢查防火墻�����。防火墻的作用是防止外部用戶非法使用內(nèi)部網(wǎng)絡(luò)資源�����,并且保護內(nèi)部網(wǎng)絡(luò)的設(shè)備不受破壞�����,防止內(nèi)部網(wǎng)絡(luò)的主要數(shù)據(jù)被竊取�����。一個防火墻系統(tǒng)通常由屏蔽路由器和服務(wù)器組成�����。屏蔽路由器是一個多端口的IP路由器�����,它通過對每一個到來的IP包依據(jù)一組規(guī)則進行檢查�����,來判斷是否對之進行轉(zhuǎn)發(fā)�����。屏蔽路由器從包頭取得信息�����,例如協(xié)議號、收發(fā)報文的IP地址和端口號�����、連接標志以至另外一些IP選項�����,對IP包進行過濾�����。
四�����、結(jié)論
計算機病毒在形式上越來越難以辨別�����,造成的危害也日益嚴重�����,這就要求網(wǎng)絡(luò)防毒產(chǎn)品在技術(shù)上更先進�����、功能上更全面�����。而計算機網(wǎng)絡(luò)安全是計算機技術(shù)快速發(fā)展過程中日益突出的問題�����,目前中國的科研機構(gòu)正廣泛開展這一方面研究�����,主要是反病毒研究�����、反黑客問題研究�����、計算機網(wǎng)絡(luò)防火墻技術(shù)�����、加密技術(shù)、安全機制�����。到時�����,計算網(wǎng)絡(luò)就會得到更安全的保障�����。
參考文獻
1�����、陳立新:《計算機:病毒防治百事通》[M]�����,北京:清華大學(xué)出版社�����,2001
第5篇
第一章
網(wǎng) 絡(luò) 安 全……………………………………………………………01
第一節(jié)�����、黑客的定義及其危害………………………………………………………01
1�����、什么是黑客�����?…………………………………………………………………… 01
2�����、黑客可以分為哪幾種類型�����?…………………………………………………… 02
3�����、黑客有什么樣的危害�����?………………………………………………………… 02
第二節(jié)、黑客常用的攻擊手段……………………………………………………… 03
1�����、什么是后門程序�����?…………………………………………………………………03
2�����、炸彈攻擊的原理是什么�����?…………………………………………………………03
3�����、什么是郵件炸彈�����?…………………………………………………………………03
4�����、什么是邏輯炸彈? …………………………………………………………………04
5�����、什么是聊天室炸彈�����?………………………………………………………………04
6�����、什么是拒絕服務(wù)攻擊�����?……………………………………………………………04
7�����、拒絕服務(wù)攻擊工具Trin00有何特點�����?……………………………………………05
8、你以為自己的密碼很安全嗎�����?……………………………………………………05
9�����、哪幾類密碼最危險�����?………………………………………………………………05
10�����、黑客破解密碼的窮舉法是怎么回事�����?………………………………………… 05
11�����、黑客破解密碼的字典法是怎么回事�����?………………………………………… 05
12�����、黑客破解密碼的猜測法是怎么回事�����?………………………………………… 06
13�����、什么是特洛伊木馬�����?…………………………………………………………… 06
14�����、網(wǎng)絡(luò)監(jiān)聽是怎么回事�����?………………………………………………………… 07
略…………(共五節(jié))
摘 要
本文敘述了網(wǎng)絡(luò)安全與防護、黑客技術(shù)�����、防火墻技術(shù)的概念�����、作用�����,并且介紹了網(wǎng)絡(luò)安全的各種防護方法及防火墻技術(shù)的相關(guān)知識�����。
關(guān)鍵字
黑客 密碼 防火墻 網(wǎng)絡(luò)安全
Network security of the computer and technical research of shelter
Abstract This text has narrated network security and protecting�����, hacker's technology�����, concept�����, function of fire wall technology�����, Recommend the shelter methods and set fire wall the some relevant knowledges of technologies of network security.
Keywords Hacker Passwords Fire wall Network security
:20000多字的本科畢業(yè)論文 有參考文獻
300元
備注:此文版權(quán)歸本站所有�����;�����。
第6篇
【關(guān)鍵詞】防火墻�����;安全策略�����;安全意識
1、防火墻安全策略的原理
防火墻又稱為防護墻�����,是一種介于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)�����。其基本作用是保護特定的網(wǎng)絡(luò)不受非法網(wǎng)絡(luò)或入侵者的攻擊�����,但同時還得允許兩個正常網(wǎng)絡(luò)之間可以進行合法的通信�����。安全策略就是對通過防護墻的信息數(shù)據(jù)進行檢驗�����,只有符合規(guī)則或符合安全策略的合法數(shù)據(jù)才能通過防火墻的檢驗�����,進行數(shù)據(jù)通信和資源共享�����。
通過防火墻安全策略可以有效地控制內(nèi)網(wǎng)用戶訪問外網(wǎng)的權(quán)限,控制內(nèi)網(wǎng)不同安全級別的子網(wǎng)之間的訪問權(quán)限等�����。同時也能夠?qū)W(wǎng)絡(luò)設(shè)備本身進行控制�����,如限制哪些IP地址不能使用設(shè)備�����,控制網(wǎng)管服務(wù)器與其他設(shè)備間的互相訪問等�����。
在具體防火墻的應(yīng)用中�����,防火墻安全策略是對防火墻的數(shù)據(jù)流進行網(wǎng)絡(luò)安全訪問的基本手段�����,其決定了后續(xù)的應(yīng)用數(shù)據(jù)流是否被處理�����。NGFW會對收到的流量進行檢測�����,檢測對象包括源\目的安全區(qū)域�����、源\目的地址�����、用戶�����、服務(wù)和時間段等�����。具體步驟如下:
(1)首先是數(shù)據(jù)流先要經(jīng)過防火墻�����;
(2)然后查找防火墻配置的安全策略,判斷是否允許下一步的操作�����;
(3)防火墻根據(jù)安全策略定義規(guī)則對數(shù)據(jù)包進行處理�����。
2�����、安全策略的分類
安全策略大體可分為三大類:域間安全策略�����、域內(nèi)安全策略和接口包過濾�����。
域間安全策略用于控制域間流量的轉(zhuǎn)發(fā)�����,適用于接口加入不同安全區(qū)域的場景�����。域間安全策略按IP地址�����、時間段和服務(wù)�����、用戶等多種方式匹配流量�����,并對符合條件的流量進行包過濾控制�����。其也用于控制外界與設(shè)備本身的互訪�����,允許或拒絕與設(shè)備本身的互訪�����。
域內(nèi)安全策略與域間安全策略一樣,也可以按IP地址�����、時間段和服務(wù)�����、用戶等多種方式匹配流量�����,并對符合條件的流量進行包過濾控制�����。但是在企業(yè)中某些部門如財務(wù)部等重要數(shù)據(jù)所在的部門�����,需要防止內(nèi)部員工對服務(wù)器�����、PC機等的惡意攻擊�����。所以在域內(nèi)應(yīng)用安全策略進行IPS檢測�����,阻斷惡意員工的非法訪問�����。
當(dāng)接口未加入安全區(qū)域的情況下�����,通過接口包過濾控制接口接收和發(fā)送的IP報文�����,可以按IP地址�����、時間段和服務(wù)�����、用戶等多種方式匹配流量并執(zhí)行相應(yīng)動作。硬件包過濾是在特定的二層硬件接口卡上實現(xiàn)的�����,用來控制接口卡上的接口可以接收哪些流量�����。硬件包過濾直接通過硬件實現(xiàn)�����,所以過濾速度較快�����。
3�����、安全策略的配置思路
(1)管理員應(yīng)該首先明確需要劃分哪幾個安全區(qū)域�����,接口如何來連接�����,分別加入哪些安全區(qū)域�����。
(2)管理員選擇根據(jù)源地址或用戶來區(qū)分企業(yè)員工�����。
(3)先確定每個用戶組的權(quán)限�����,然后再確定特殊用戶的權(quán)限�����。包括用戶所處的源安全區(qū)域和地址�����,用戶需要訪問的目的安全區(qū)域和地址,用戶能夠使用哪些服務(wù)和應(yīng)用�����,用戶的網(wǎng)絡(luò)訪問權(quán)限在哪些時間段生效等�����。如果想允許某種網(wǎng)絡(luò)訪問�����,則配置安全策略的動作為“允許”�����,否則為“禁止”�����。
(4)確定對哪些通過防火墻的流量進行內(nèi)容安全監(jiān)測�����,進行哪些內(nèi)容安全檢測�����。
(5)將上述步驟規(guī)劃出的安全策略的相關(guān)參數(shù)一一列出�����,并將所有安全策略按照先精確�����,再寬泛的順序進行排序�����。在配置安全策略時需要按照此順序進行配置�����。
4�����、安全策略的具體配置
針對具體的網(wǎng)絡(luò)拓撲結(jié)構(gòu)以及對防火墻的相關(guān)要求�����,我們在這里對防火墻的安全策略相關(guān)配置大體如下:
(1)配置安全區(qū)域�����。
系統(tǒng)缺省已經(jīng)創(chuàng)建了四個安全區(qū)域�����。如果用戶還需要劃分更多的安全等級�����,就可以自行創(chuàng)建新的安全區(qū)域并定義其安全級別。具體新建安全區(qū)域步驟為:選擇網(wǎng)絡(luò)/安全區(qū)域�����,然后單擊“新建”,直接配置安全區(qū)域的相關(guān)參數(shù)即可�����。
(2)配置地址和地址組�����。
地址是IPV4地址或MAC地址的集合,地址組是地址的集合�����。地址包含一個或若干個IPV4地址或MAC地址,類似于一個基礎(chǔ)組件�����,只需定義一次,就可以被各種策略多次引用。
(3)配置地區(qū)和地區(qū)組�����。
地區(qū)是以地區(qū)為單位的IP地址對象,每個地區(qū)是當(dāng)前地區(qū)的公網(wǎng)IP地址的集合�����。為了進一步方便擴展和復(fù)用�����,設(shè)備還支持配置地區(qū)組供策略引用。配置較為靈活�����。
(4)配置服務(wù)和服務(wù)組�����。
服務(wù)是通過協(xié)議類型和端口號來確定的應(yīng)用協(xié)議類型�����,服務(wù)組是服務(wù)和服務(wù)組的集合�����。其中�����,預(yù)定義服務(wù)是指系統(tǒng)缺省已經(jīng)存在,可以直接選擇的服務(wù)類型�����;自定義服務(wù)是通過指定協(xié)議類型和端口號等信息來定義的一些應(yīng)用協(xié)議類型�����。
(5)配置應(yīng)用和應(yīng)用組�����。
應(yīng)用是指用來執(zhí)行某一特殊任務(wù)或用途的計算機程序�����。應(yīng)用組是指多個應(yīng)用的集合。具體通過WEB界面配置相應(yīng)的服務(wù)�����。
(6)配置時間段�����。
時間段定義了時間范圍�����,定義好的時間段被策略引用侯,可以對某一時間段內(nèi)流經(jīng)NGFW的流量進行匹配和控制�����。具體通過WEB界面進行配置相關(guān)時間段�����。
綜上所述�����,我們在進一步加強網(wǎng)絡(luò)安全的今天�����,就必須在增強網(wǎng)絡(luò)安全意識的前提下�����,不斷地加強網(wǎng)絡(luò)安全技術(shù)。而在防火墻安全技術(shù)中�����,防火墻的安全配置策略就是重中之重�����。在實際應(yīng)用過程中,要不斷地進行優(yōu)化處理�����。只有不斷地的豐富和完善�����,我們的網(wǎng)絡(luò)世界才會安全通暢�����!
參考文獻:
[1] 宿潔�����, 袁軍鵬. 防火墻技術(shù)及其進展[J]. 計算機工程與應(yīng)用, 2004�����, 40(9):147-149.
[2] 劉克龍, 蒙楊�����, 卿斯?jié)h. 一種新型的防火墻系統(tǒng)[J]. 計算機學(xué)報�����, 2000�����, 23(3):231-236.
[3] 翟鈺�����, 武舒凡, 胡建武. 防火墻包過濾技術(shù)發(fā)展研究[J]. 計算機應(yīng)用研究�����, 2004�����, 21(9):144-146.
[4] 林曉東, 楊義先. 網(wǎng)絡(luò)防火墻技術(shù)[J]. 電信科學(xué)�����, 1997(3):41-43.
[5] 楊瓊, 楊建華�����, 王習(xí)平,等. 基于防火墻與入侵檢測聯(lián)動技術(shù)的系統(tǒng)設(shè)計[J]. 武漢理工大學(xué)學(xué)報�����, 2005�����, 27(7):112-115.
第7篇
關(guān)鍵詞:防火墻�����;封包識別�����;內(nèi)容過濾�����;連線跟蹤
近年來防火墻對網(wǎng)絡(luò)的保護越來越重要,特別是P2P軟件越來越多的趨勢下�����,傳統(tǒng)防火墻并不能有效的過濾P2P軟件�����,因此越來越多的防火墻改用Connection Classification針對整個連線進行較完整的掃描。雖然有廠商推出此類防火墻�����,特別針對P2P使用的動態(tài)連線端口提供了連線過濾能力,但是商業(yè)應(yīng)用層防火墻的售價偏高�����,而且商業(yè)用的防火墻,其操作系統(tǒng)不對外開放,只能通過廠商的軟件更新才可以升級�����,而P2P系統(tǒng)與技術(shù)的更新非?����?欤陨逃梅阑饓σ恢币蕾噺S商推出的更新特征值或者軟件升級的方式讓使用者升級�����,使用者才有可能讓所購買的防火墻可以過濾最新的P2P軟件�����。
而本片論文所使用的是目前網(wǎng)絡(luò)上都可以取得的Open Source套件�����,也有許多熱心的程序員不斷地更新P2P軟件的特征值,讓使用者可以在花費較低成本的情況下�����,來達到與商用防火墻相同的目的�����。
1Netfilter/iptables工作原理
從Linux內(nèi)核2.4版本開始�����,內(nèi)置了IP信息包過濾工具Netfilter/iptables系統(tǒng)�����,它使防火墻配置和信息包過濾變得更加容易,其中Netfilter是用來實現(xiàn)防火墻的過濾器�����,而iptables則用來指定Netfilter規(guī)則并管理內(nèi)核包過濾�����,它為用戶配置防火墻規(guī)則提供了方便,通過iptables可以加入�����、插入或刪除內(nèi)核包過濾表(鏈)中的規(guī)則,這些規(guī)則由Netfilter及其相關(guān)模塊執(zhí)行�����。
Netfilter是嵌入內(nèi)核IP協(xié)議棧的一系列調(diào)用入口�����,設(shè)置在報文處理的路徑上�����,Netfilter就是根據(jù)網(wǎng)絡(luò)報文的流向�����,在以下幾個點插入處理過程:
NF_IP_PRE_ROUTING,在報文作路由以前執(zhí)行�����;
NF_IP_FORWARD,在報文轉(zhuǎn)向另一個NIC以前執(zhí)行�����;
NF_IP_POST_ROUTING�����,在報文流出以前執(zhí)行�����;
NF_IP_LOCAL_IN�����,在流入本地的報文作路由以后執(zhí)行�����;
NF_IP_LOCAL_OUT,在本地報流出路由前執(zhí)行�����。
檢查點分布在協(xié)議棧的流程中,流程圖如下。
Netfilter框架為多種協(xié)議提供了一套類似的鉤子(HOOK)�����,用一個struct list_headnf_hooks[NPROTO][NF_MAX_HOOKS]二維數(shù)組結(jié)構(gòu)存儲,一維為協(xié)議族�����,二維為上面提到的各個調(diào)用入口�����。每個希望嵌入Netfilter中的模塊都可以為多個協(xié)議族的多個調(diào)用點注冊多個鉤子函數(shù)(HOOK)�����,這些鉤子函數(shù)將形成一條函數(shù)指針鏈�����,每次協(xié)議棧代碼執(zhí)行到NF_HOOK()函數(shù)時�����,都會依次啟動所有這些函數(shù)�����,處理參數(shù)所指定的協(xié)議棧內(nèi)容。
每個注冊的鉤子函數(shù)經(jīng)過處理后都將返回下列值之一�����,告知Netfilter核心代碼處理結(jié)果�����,以便對報文采取相應(yīng)的動作:
NF_ACCEPT:繼續(xù)正常的報文處理;
NF_DROP:將報文丟棄�����;
NF_STOLEN:由鉤子函數(shù)處理了該報文�����,不要再繼續(xù)傳送;
NF_QUEUE:將報文入隊,通常交由用戶程序處理�����;
NF_REPEAT:再次調(diào)用該鉤子函數(shù)�����。
Netfilter/iptables IP信息包過濾系統(tǒng)是一種功能強大的工具,可用于添加�����、編輯和刪除規(guī)則�����,這些規(guī)則是在做信息包過濾時,防火墻所遵循和組成的規(guī)則�����。
2L7-filter
L7-filter是基于連線跟蹤和字符串匹配的網(wǎng)絡(luò)應(yīng)用層過濾方式�����,L7-filter是將網(wǎng)絡(luò)上的封包在應(yīng)用層的數(shù)據(jù)內(nèi)容重新拷貝一份�����,然后把拷貝內(nèi)容以字符串的形式與事先設(shè)定好的特征碼進行匹配過濾�����。這里的特征碼是以正則表達式的形式存放在.pat文件里(此處采用的正則表達式是version 8版本)�����,并通過iptables命令將正則表達式預(yù)處理后�����,傳到內(nèi)核netfilter中,因而它具有更好的通用性和擴展性�����。
以大家常用的BT為例,如果要封鎖防火墻內(nèi)網(wǎng)的BT�����,執(zhí)行的命令如下:
iptables -A FORWARD-m layer7 --l7proto bittorrent -j DROP
其中bittorrent表示BT協(xié)議。在/etc/l7-filter/protocols目錄下�����,存在一個bittorrent.pat文件�����,文件里存放的是BT發(fā)送的封包特征碼�����,特征碼以正則表達式的形式存放�����。bittorrent.pat文件內(nèi)容如下:
bittorrent //與.pat的文件名相同
\x13bittorrent protocol//BT 握手協(xié)議的封包特征
由于L7-filter的數(shù)據(jù)是存放在內(nèi)核中的�����,如果系統(tǒng)是作為路由的功能,且聯(lián)機數(shù)很大時�����,操作系統(tǒng)(linux)要為連接記錄分配大量的內(nèi)存空間來存放相應(yīng)聯(lián)機數(shù)的應(yīng)用層數(shù)據(jù)�����。因此緩沖區(qū)的長度不宜過大�����,另外對于一個應(yīng)用程序所發(fā)送的封包而言�����,其握手或協(xié)商作用的封包通常是在前幾個封包,當(dāng)連接正常通信時�����,其封包特征不是很明顯�����,因此L7-filter只檢測每個連接的前若干個封包(默認值是10個�����,可以通過修改/proc/net/layer7_numpackets值進行配置)�����。
L7-filter對封包應(yīng)用層數(shù)據(jù)的預(yù)處理原理如下:
1.基于匹配是將數(shù)據(jù)當(dāng)作是字符串來處理�����,且‘\0’(二進碼00000000)是字符串結(jié)尾的標志,在拷貝應(yīng)用層的封包數(shù)據(jù)中出現(xiàn)‘\0’時�����,去掉所有的‘\0’�����。
2.將封包應(yīng)用層數(shù)據(jù)中出現(xiàn)的大寫字符轉(zhuǎn)換成小寫�����,從而使用匹配時大小寫不敏感�����。但是相關(guān)的匹配算法則可以實現(xiàn)大小寫敏感。
3.L7-filter在處理.pat文件理的正則表達式時�����,也是先將正則表達式中出現(xiàn)在的大寫字符轉(zhuǎn)換成小寫,然后檢查正則表達式的格式是否出錯。
3存在的不足之處
3.1存在誤判
數(shù)據(jù)在網(wǎng)絡(luò)的傳輸過程中�����,數(shù)據(jù)內(nèi)容是無法估計的�����,基于應(yīng)用層過濾的方式勢必會造成誤判,盡管在編輯正則表達時要求規(guī)范�����,但是誤判還是難以避免,比如說迅雷�����,其發(fā)送的UDP封包的特征值是“\x32\0\0\0”,但是從上一節(jié)介紹L7-filter預(yù)處理封包是將\0去除的原則,這里的特征碼的正則表達式將會被處理成“^\32”(其中^號表示數(shù)據(jù)開始位置)�����,并將此規(guī)則用于迅雷封包的過濾�����,設(shè)定規(guī)則的命令為(網(wǎng)絡(luò)環(huán)境的配置如上同):
iptables -A FORWARD-m layer7 --l7proto xunlei -j DROP
由此正則表達式可以看出�����,網(wǎng)絡(luò)上的封包凡是以\x32開的數(shù)據(jù)全將被DROP(阻擋)�����?����;诰W(wǎng)絡(luò)封包數(shù)據(jù)的不可預(yù)測性,這里假設(shè)整個網(wǎng)絡(luò)環(huán)境中�����,封包中數(shù)據(jù)中每個字符出現(xiàn)的率是相等的,第一位數(shù)據(jù)的可能是256種(ASCII碼0-255)�����,\x32出現(xiàn)的機率是1/256�����,則采用“^\x32”的正則表達式過濾迅雷時�����,會阻擋掉網(wǎng)絡(luò)中1/256的封包�����,這樣的機率會嚴重影響網(wǎng)絡(luò)的正常傳輸�����,誤判非常嚴重�����。
另外�����,對于L7-filter對于\0字符不處理的情況下,如果P2P軟件是以\0�����,或是以\0為特征的一部分作特征碼時,L7-filter性能就非常差�����,并且誤判也會增加�����。
類似的情況還有很多�����,例如:BT的UDP track的特征“.........\0\0\0\x01”等�����。
3.2過濾速率較低
在目前Linux防火墻架構(gòu)中,封包必須逐一比對防火墻規(guī)則直到比對到符合的規(guī)則為止�����,才會停止比對。同樣的Netfilter的extension matching module L7-filter也是一樣�����,當(dāng)規(guī)則使用越多�����,L7-filter比對的次數(shù)也越多次。與傳統(tǒng)Layer4防火墻不同點在于L7-filter在第一次透過封包內(nèi)容比對出結(jié)果后�����,便會在此封包所屬Conntrack上增加一個辨識出來的應(yīng)用軟件名稱,以供以后可以透過搜尋這個名稱來直接比對�����;就如同Layer4防火墻是直接比對封包的包頭來決定是否符合規(guī)則�����。因為將封包內(nèi)容透過字符串比對是非常緩慢的。雖然有了這樣的方式�����,但是字符串比對與傳統(tǒng)Layer4防火墻直接比對每個封包的包頭�����,在速度上仍有不小的差異�����。這種狀況會隨著防火墻規(guī)則數(shù)量的增加而產(chǎn)生性能上的落差。
4性能的改進
4.1L7-filter誤判的改進
鑒于L7-filter針對數(shù)據(jù)包中‘\0’不作處理的規(guī)則�����,為了提高L7-filter的性能,降低針對‘\0’特征碼誤判率問題�����,我們在這里對L7-filter預(yù)處理數(shù)據(jù)內(nèi)容的規(guī)則進行修改�����。
L7-filter在實現(xiàn)匹配之前,是先將數(shù)據(jù)包內(nèi)容中出現(xiàn)的大寫字母轉(zhuǎn)變?yōu)樾?����,iptables在讀.pat文件中的正則表達式時�����,也是先將正則表達式中出現(xiàn)的大寫字母轉(zhuǎn)變成小寫�����,實現(xiàn)大小寫不敏感的�����。但是在實際的應(yīng)用中,正則表達式算法是大小寫敏感的�����。因此我們可以將數(shù)據(jù)包中的‘\0’用一個特定的大寫字母(在選擇替代大寫字母時,不能與正則表達中出現(xiàn)的特殊符號沖突�����,這里取N)來代替�����,用這個大寫字母實現(xiàn)‘\0’匹配。因此L7-filter的字符串預(yù)處理改進為:
1.在.pat正則表達文件中�����,用‘\NULL’表示‘\0’�����,當(dāng)iptables讀.pat文件時,將\NULL轉(zhuǎn)化成大寫字母N�����,然后將正則表達式轉(zhuǎn)到內(nèi)核數(shù)據(jù)空間。(只將代表‘\0’的字符串用一個大寫字來代替�����,而其它的沒有改變�����,仍能保證匹配的大小不敏感�����。)
2.在L7-filter在組織連機的數(shù)據(jù)包時�����,同樣要將數(shù)據(jù)中的‘\0’替換成大寫字母N�����,但是�����,針對網(wǎng)絡(luò)封包長度的特點�����,當(dāng)封包中數(shù)據(jù)量太少的情況下�����,會在封包的結(jié)尾加一些‘\0’填充�����,來滿足網(wǎng)絡(luò)封包的最小長度要求�����。因此這里為了使有限的緩沖區(qū)能夠存放最多的封包數(shù)量的數(shù)據(jù)和提高匹配效率�����,在這里先將數(shù)據(jù)包數(shù)據(jù)中結(jié)尾出現(xiàn)的填充字符‘\0’去掉,然后將數(shù)據(jù)封包中非填充字符‘\0’替換成大寫字母N�����,在這里強調(diào)的是,原封包中的數(shù)據(jù)不能改動,只改動拷貝數(shù)據(jù)�����。
綜上所述�����,可以看出實現(xiàn)L7封包數(shù)據(jù)預(yù)處理后,能夠克服L7-filter不處理‘\0’的缺陷�����。
4.2過濾速率的改進
我們修改圖1的第一個檢查點(NF_IP_PRE_ROUTING)動作如圖2�����,在第一次比對出結(jié)果后�����,透過將此封包所屬連線的狀態(tài)標示存儲在Conntrack中,當(dāng)之后封包進入防火墻后�����,可以查詢此封包所屬的連線是否已經(jīng)有比對結(jié)果的標示存在�����,若有則直接取得該結(jié)果�����,如果沒有則依照防火墻內(nèi)的規(guī)則一條一條的比對�����。如果封包一直沒有比對結(jié)果�����,我們可以設(shè)定一個門檻值,當(dāng)每條連線比對超過這幾個封包都沒有結(jié)果后�����,我們就可以默認策略設(shè)定為ACCEPT或是DROP寫入對應(yīng)的Conntrack Entry中�����,避免封包比對沒有比對規(guī)則還會不斷的進入系統(tǒng)比對�����。
除了拋棄(DROP)與允許(ACCEPT)之外,我們增加另一額外的目的函數(shù)�����,稱為STATE�����;當(dāng)封包比對有結(jié)果后�����,可以將此結(jié)果透過STATE這個目標函數(shù)�����,將結(jié)果存入Conntrack[11]�����。
iptables t mangle I PREROUTING m statecheck -accept j ACCEPT
iptables t mangle I PREROUTING m statecheck -drop j ACCEPT
iptables t mangle I PREROUTING m layer7 l7proto msn-login j STATE --drop
如上前兩條防火墻的規(guī)則,是在NF_IP_PRE_ROUTING檢查點最前面放置兩條防火墻規(guī)則�����,可以讓封包進入PREROUTING后馬上通過我們寫的statecheck matching module來對比�����,去查詢State Table中是否已經(jīng)存有應(yīng)對的狀態(tài)�����,即圖2增加的檢查功能部分�����。而第三條規(guī)則代表msn-login不被允許�����,除此之外目標函數(shù)STATE需在應(yīng)對Conntrack的狀態(tài)標記為“drop”,即圖2的Save State部分�����。后續(xù)同一連線包一進入Netfilter后,我們的statecheck matching module即可根據(jù)此狀態(tài)將其丟棄�����,不需要再做其它規(guī)則的比較,即圖2的Apply Action部分�����。
STATE目標函數(shù)除了“drop”外�����,還有其它函數(shù)可供使用�����,如“accept”�����、“MARK X”�����。
5結(jié)束語
隨著網(wǎng)絡(luò)的發(fā)展,未來會有越來越多的軟件會使用P2P的方式做傳輸�����,相對的所使用的端口一定沒有固定�����,甚至?xí)窝b成其它的應(yīng)用軟件的端口�����,傳統(tǒng)的只看固定端口來做網(wǎng)絡(luò)安全的控管已經(jīng)明顯的不足。應(yīng)用層防火墻的應(yīng)用會越來越廣�����,甚至在頻寬管理的應(yīng)用上都會采用第七層辨識的方式來控制�����,未來基于應(yīng)用層的過濾方式只會越來越被廣泛的應(yīng)用。
參考文獻
[1] The netfilter project team�����,“Linux Netfilter/iptables frameworks�����,” Nov 1999. [Online].省略/. [Accessed:Sep. 2004].
[2]L7-filter Classifier project team�����,“L7-filter Classifier�����,” May 2003. [Online]. Available:l7-filter.省略/. [Accessed: Oct.2004].
[3]Steve Suehring�����,Robert L. Ziegler著�����,何涇沙 等(譯). Linux防火墻(第3版)[M].北京:機械工業(yè)出版社�����,2006.12
[4]趙炯. Linux內(nèi)核完全剖析[M].北京:機械工業(yè)出版社�����,2006
第8篇
關(guān)鍵詞:計算機網(wǎng)絡(luò)�����,防護技術(shù),研究
隨著高新技術(shù)的不斷發(fā)展�����,計算機網(wǎng)絡(luò)已經(jīng)成為我們生活中所不可缺少的概念�����,然而隨之而來的問題----網(wǎng)絡(luò)安全也毫無保留地呈現(xiàn)在我們的面前�����,不論是在軍事中還是在日常的生活中,網(wǎng)絡(luò)的安全問題都是我們所不得不考慮的�����,只有有了對網(wǎng)絡(luò)攻防技術(shù)的深入了解�����,采用有效的網(wǎng)絡(luò)防護技術(shù)�����,才能保證網(wǎng)絡(luò)的安全�����、暢通,保護網(wǎng)絡(luò)信息在存儲和傳輸?shù)倪^程中的保密性�����、完整性、可用性�����、真實性和可控性�����,才能使我們面對網(wǎng)絡(luò)而不致盲從,真正發(fā)揮出網(wǎng)絡(luò)的作用�����。
一、計算機網(wǎng)絡(luò)防護技術(shù)構(gòu)成
(一)被動防護技術(shù)
其主要采用一系列技術(shù)措施(如信息加密、身份認證�����、訪問控制�����、防火墻等)對系統(tǒng)自身進行加固和防護�����,不讓非法用戶進入網(wǎng)絡(luò)內(nèi)部�����,從而達到保護網(wǎng)絡(luò)信息安全的目的�����。這些措施一般是在網(wǎng)絡(luò)建設(shè)和使用的過程中進行規(guī)劃設(shè)置�����,并逐步完善�����。因其只能保護網(wǎng)絡(luò)的入口�����,無法動態(tài)實時地檢測發(fā)生在網(wǎng)絡(luò)內(nèi)部的破壞和攻擊的行為�����,所以存在很大的局限性�����。
( 1 )信息保密技術(shù)
密碼技術(shù)是網(wǎng)絡(luò)安全最有效的技術(shù)之一, 信息加密過程是由形形的加密算法來具體實施�����,它以很小的代價提供很大的安全保護�����。它通過信息的變換或編碼�����,將敏感信息變成難以讀懂的亂碼型信息,以此來保護敏感信息的安全�����。在多數(shù)情況下�����,信息加密是保證信息機密性的惟一方法�����。信息加密的主要目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件�����、口令和控制信息�����,保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。
網(wǎng)絡(luò)加密常用的方法有:鏈路加密�����、端點加密和節(jié)點加密3種。密碼體制主要有分組密碼體制和序列密碼體制�����。論文參考網(wǎng)。
( 2 ) 信息認證技術(shù)
認證技術(shù)是網(wǎng)絡(luò)安全的一個重要方面�����,屬于網(wǎng)絡(luò)安全的第一道防線�����。其認證機制是接收者接收信息的同時還要驗證信息是否來自合法的發(fā)送者�����,以及該信息是否被篡改過�����,計算機系統(tǒng)是基于收到的識別信息識別用戶�����。認證涉及多個步驟:收集認證信息、安全地傳輸認證信息、確定使用計算機的人(就是發(fā)送認證信息的人)�����。其主要目的是用來防止非授權(quán)用戶或進程侵入計算機系統(tǒng)�����,保護系統(tǒng)和數(shù)據(jù)的安全
其主要技術(shù)手段有:用戶名/密碼方式;智能卡認證方式�����;動態(tài)口令;USB Key認證�����;生物識別技術(shù)。
( 3 ) 訪問控制技術(shù)
訪問控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一�����,是一種基于主機的防護技術(shù)�����。訪問控制技術(shù)通過控制與檢查進出關(guān)鍵服務(wù)器中的訪問�����,保護服務(wù)器中的關(guān)鍵數(shù)據(jù),其利用用戶身份認證功能�����,資源訪問權(quán)限控制功能和審計功能來識別與確認訪問系統(tǒng)的用戶,決定用戶對系統(tǒng)資源的訪問權(quán)限�����,并記錄系統(tǒng)資源被訪問的時間和訪問者信息�����。其主要目的是保證網(wǎng)絡(luò)資源不被非法使用和訪問。
其主要方式有:自主訪問控制�����、強行訪問控制和信息流控制�����。
( 4 ) 防火墻技術(shù)
防火墻是一種網(wǎng)絡(luò)之間的訪問控制機制�����,它的主要目的是保護內(nèi)部網(wǎng)絡(luò)免受來自外部網(wǎng)絡(luò)非授權(quán)訪問,保護內(nèi)部網(wǎng)絡(luò)的安全�����。
其主要機制是在受保護的內(nèi)部網(wǎng)和不被信任的外部網(wǎng)絡(luò)之間設(shè)立一個安全屏障�����,通過監(jiān)測、限制�����、更改�����、抑制通過防火墻的數(shù)據(jù)流,盡可能地對外部網(wǎng)絡(luò)屏蔽內(nèi)部網(wǎng)絡(luò)的信息和結(jié)構(gòu)�����,防止外部網(wǎng)絡(luò)的未授權(quán)訪問�����,實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)的可控性隔離,保護內(nèi)部網(wǎng)絡(luò)的安全�����。
防火墻的分類主要有:數(shù)據(jù)包過濾型防火墻�����、應(yīng)用層網(wǎng)關(guān)型防火墻和狀態(tài)檢測型防火墻�����。
(二)主動防護技術(shù)
主動防護技術(shù)主要采取技術(shù)的手段如入侵取證�����、網(wǎng)絡(luò)陷阱�����、入侵檢測�����、自動恢復(fù)等�����,能及時地發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為并及時地采取應(yīng)對措施,如跟蹤和反攻擊�����、設(shè)置網(wǎng)絡(luò)陷阱�����、切斷網(wǎng)絡(luò)連接或恢復(fù)系統(tǒng)正常工作�����。實現(xiàn)實時動態(tài)地監(jiān)視網(wǎng)絡(luò)狀態(tài)�����,并采取保護措施�����,以提供對內(nèi)�����、外部攻擊和誤操作的實時保護�����。
( 1 )入侵取證技術(shù)
入侵取證技術(shù)是指利用計算機軟硬件技術(shù)�����,按照符合法律規(guī)范的方式�����,對計算機網(wǎng)絡(luò)入侵�����、破壞�����、欺詐、攻擊等犯罪行為進行識別�����、保存、分析和提交數(shù)字證據(jù)的過程�����。
入侵取證的主要目的是對網(wǎng)絡(luò)或系統(tǒng)中發(fā)生的攻擊過程及攻擊行為進行記錄和分析�����,并確保記錄信息的真實性與完整性(以滿足電子證據(jù)的要求)�����,據(jù)此找出入侵者或入侵的機器�����,并解釋入侵的過程�����,從而確定責(zé)任人�����,并在必要時�����,采取法律手段維護自己的利益�����。
入侵取證技術(shù)主要包括:網(wǎng)絡(luò)入侵取證技術(shù)(網(wǎng)絡(luò)入侵證據(jù)的識別、獲取�����、保存�����、安全傳輸及分析和提交技術(shù)等)�����、現(xiàn)場取證技術(shù)(內(nèi)存快照�����、現(xiàn)場保存、數(shù)據(jù)快速拷貝與分析技術(shù)等)�����、磁盤恢復(fù)取證技術(shù)、數(shù)據(jù)還原取證技術(shù)(對網(wǎng)上傳輸?shù)男畔?nèi)容�����,尤其是那些加密數(shù)據(jù)的獲取與還原技術(shù))�����、電子郵件調(diào)查取證技術(shù)及源代碼取證技術(shù)等。
( 2 ) 網(wǎng)絡(luò)陷阱技術(shù)
網(wǎng)絡(luò)陷阱技術(shù)是一種欺騙技術(shù)�����,網(wǎng)絡(luò)安全防御者根據(jù)網(wǎng)絡(luò)系統(tǒng)中存在的安全弱點,采取適當(dāng)技術(shù)�����,偽造虛假或設(shè)置不重要的信息資源,使入侵者相信網(wǎng)絡(luò)系統(tǒng)中上述信息資源具有較高價值�����,并具有可攻擊�����、竊取的安全防范漏洞�����,然后將入侵者引向這些資源�����。同時,還可獲得攻擊者手法和動機等相關(guān)信息�����。這些信息日后可用來強化現(xiàn)有的安全措施�����,例如防火墻規(guī)則和IDS配置等�����。
其主要目的是造成敵方的信息誤導(dǎo)�����、紊亂和恐慌�����,從而使指揮決策能力喪失和軍事效能降低。論文參考網(wǎng)�����。靈活的使用網(wǎng)絡(luò)陷阱技術(shù)可以拖延攻擊者,同時能給防御者提供足夠的信息來了解敵人�����,將攻擊造成的損失降至最低�����。
網(wǎng)絡(luò)陷阱技術(shù)主要包括:偽裝技術(shù)(系統(tǒng)偽裝、服務(wù)偽裝等)�����、誘騙技術(shù)�����、引入技術(shù)、信息控制技術(shù)(防止攻擊者通過陷阱實現(xiàn)跳轉(zhuǎn)攻擊)�����、數(shù)據(jù)捕獲技術(shù)(用于獲取并記錄相關(guān)攻擊信息)及數(shù)據(jù)統(tǒng)計和分析技術(shù)等�����。
( 3 ) 入侵檢測技術(shù)
入侵檢測的基本原理是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息(系統(tǒng)運行狀態(tài)、網(wǎng)絡(luò)流經(jīng)的信息等)�����,對這些信息進行分析和判斷�����,及時發(fā)現(xiàn)入侵和異常的信號,為做出響應(yīng)贏得寶貴時間,必要時還可直接對攻擊行為做出響應(yīng)�����,將攻擊行為帶來的破壞和影響降至最低�����。它是一種主動的入侵發(fā)現(xiàn)機制�����,能夠彌補防火墻和其他安全產(chǎn)品的不足,為網(wǎng)絡(luò)安全提供實時的監(jiān)控及對入侵采取相應(yīng)的防護手段�����,擴展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性�����。入侵檢測系統(tǒng)已經(jīng)被認為是維護網(wǎng)絡(luò)安全的第二道閘門。
其主要目的是動態(tài)地檢測網(wǎng)絡(luò)系統(tǒng)中發(fā)生的攻擊行為或異常行為�����,及時發(fā)現(xiàn)攻擊或異常行為并進行阻斷、記錄�����、報警等響應(yīng)�����,彌補被動防御的不足之處。
入侵檢測技術(shù)主要包括:數(shù)據(jù)收集技術(shù)�����、攻擊檢測技術(shù)、響應(yīng)技術(shù)�����。
( 4 ) 自動恢復(fù)技術(shù)
任何一個網(wǎng)絡(luò)安全防護系統(tǒng)都無法確保萬無一失,所以�����,在網(wǎng)絡(luò)系統(tǒng)被入侵或破壞后�����,如何盡快恢復(fù)就顯得非常關(guān)鍵了�����。這其中的一個關(guān)鍵技術(shù)就是自動恢復(fù)技術(shù)�����,他針對服務(wù)器上的關(guān)鍵文件和信息進行實時地一致性檢查,一旦發(fā)現(xiàn)文件或信息的內(nèi)容�����、屬主、時間等被非法修改就及時報警�����,并在極短的時間內(nèi)進行恢復(fù)�����。論文參考網(wǎng)�����。其性能的關(guān)鍵是資源占有量�����、正確性和實時性。
其主要目的是在計算機系統(tǒng)和數(shù)據(jù)受到攻擊的時候�����,能夠在極短的時間內(nèi)恢復(fù)系統(tǒng)和數(shù)據(jù)�����,保障系統(tǒng)的正常運行和數(shù)據(jù)的安全�����。
自動恢復(fù)技術(shù)主要包括:備份技術(shù)、冗余技術(shù)�����、恢復(fù)技術(shù)、遠程控制技術(shù)�����、文件掃描與一致性檢查技術(shù)等�����。
二�����、計算機網(wǎng)絡(luò)防護過程模型
針對日益嚴重的網(wǎng)絡(luò)安全問題和愈來愈突出的安全需求�����,人們在研究防黑技術(shù)的同時�����,認識到網(wǎng)絡(luò)安全防護不是一個靜態(tài)過程�����,而是一個包含多個環(huán)節(jié)的動態(tài)過程�����,并相應(yīng)地提出了反映網(wǎng)絡(luò)安全防護支柱過程的P2DR模型,其過程模型如圖1所示�����。
圖1 P2DR模型體系結(jié)構(gòu)圖
其過程如下所述:
1.進行系統(tǒng)安全需求和安全風(fēng)險分析,確定系統(tǒng)的安全目標�����,設(shè)計相應(yīng)的安全策略�����。
2.應(yīng)根據(jù)確定的安全策略�����,采用相應(yīng)的網(wǎng)絡(luò)安全技術(shù)如身份認證技術(shù)�����、訪問控制�����、網(wǎng)絡(luò)技術(shù)�����,選擇符合安全標準和通過安全認證的安全技術(shù)和產(chǎn)品�����,構(gòu)建系統(tǒng)的安全防線,把好系統(tǒng)的入口�����。
3.應(yīng)建立一套網(wǎng)絡(luò)案例實時檢測系統(tǒng)�����,主動、及時地檢測網(wǎng)絡(luò)系統(tǒng)的安全漏洞�����、用戶行為和網(wǎng)絡(luò)狀態(tài)�����;當(dāng)網(wǎng)絡(luò)出現(xiàn)漏洞�����、發(fā)現(xiàn)用戶行為或網(wǎng)絡(luò)狀態(tài)異常時及時報警�����。
4.當(dāng)出現(xiàn)報警時應(yīng)及時分析原因�����,采取應(yīng)急響應(yīng)和處理�����,如斷開網(wǎng)絡(luò)連接�����,修復(fù)漏洞或被破壞的系統(tǒng)。
隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,我們的生活中越來越離不開網(wǎng)絡(luò)�����,然而網(wǎng)絡(luò)安全問題也日趨嚴重,做好網(wǎng)絡(luò)防護已經(jīng)是我們所不得不做的事情�����,只有采取合理有效的網(wǎng)絡(luò)防護手段才能保證我們網(wǎng)絡(luò)的安全、保證信息的安全�����,使我們真正能夠用好網(wǎng)絡(luò)�����,使網(wǎng)絡(luò)為我們的生活添光添彩�����。
第9篇
論文摘要:隨著計算機信息化建設(shè)的飛速發(fā)展,計算機已普遍應(yīng)用到日常工作�����、生活的每一個領(lǐng)域,比如政府機關(guān)�����、學(xué)校�����、醫(yī)院�����、社區(qū)及家庭等�����。但隨之而來的是,計算機網(wǎng)絡(luò)安全也受到全所未有的威脅,計算機病毒無處不在,黑客的猖獗, 都防不勝防�����。
計算機網(wǎng)絡(luò)安全是指利用網(wǎng)絡(luò)管理控制和技術(shù)措施,保證在一個網(wǎng)絡(luò)環(huán)境里,數(shù)據(jù)的保密性、完整性及可使用性受到保護�����。從技術(shù)上來說, 計算機網(wǎng)絡(luò)安全主要由防病毒�����、防火墻等多個安全組件組成,一個單獨的組件無法確保網(wǎng)絡(luò)信息的安全性�����。目前廣泛運用和比較成熟的網(wǎng)絡(luò)安全技術(shù)主要有:防火墻技術(shù)、數(shù)據(jù)加密技術(shù)�����、pki技術(shù)等。
一�����、計算機網(wǎng)絡(luò)安全技術(shù)
(一)防火墻技術(shù)。防火墻是指一個由軟件或硬件設(shè)備組合而成,處于企業(yè)或網(wǎng)絡(luò)群體計算機與外界通道之間,限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限�����。防火墻是網(wǎng)絡(luò)安全的屏障,配置防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本�����、最經(jīng)濟�����、最有效的安全措施之一�����。當(dāng)一個網(wǎng)絡(luò)接上internet之后,系統(tǒng)的安全除了考慮計算機病毒�����、系統(tǒng)的健壯性之外,更主要的是防止非法用戶的入侵,而目前防止的措施主要是靠防火墻技術(shù)完成�����。防火墻能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性,并通過過濾不安全的服務(wù)而降低風(fēng)險�����。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。其次對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計�����。如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)�����。當(dāng)發(fā)生可疑動作時,防火墻能進行適當(dāng)?shù)膱缶?并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。再次防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,從而降低了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響�����。
(二)數(shù)據(jù)加密技術(shù)�����。與防火墻相比,數(shù)據(jù)加密技術(shù)比較靈活,更加適用于開放的網(wǎng)絡(luò)�����。數(shù)據(jù)加密主要用于對動態(tài)信息的保護,對動態(tài)數(shù)據(jù)的攻擊分為主動攻擊和被動攻擊。對于主動攻擊,雖無法避免,但卻可以有效地檢測;而對于被動攻擊,雖無法檢測,但卻可以避免,實現(xiàn)這一切的基礎(chǔ)就是數(shù)據(jù)加密�����。數(shù)據(jù)加密技術(shù)分為兩類:即對稱加密和非對稱加密�����。
1.對稱加密技術(shù)�����。對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù),加密密鑰與解密密鑰是相同的,或者可以由其中一個推知另一個,這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法�����。如果在交換階段私有密鑰未曾泄露,那么機密性和報文完整性就可以得以保證�����。目前,廣為采用的一種對稱加密方式是數(shù)據(jù)加密標準des,des的成功應(yīng)用是在銀行業(yè)中的電子資金轉(zhuǎn)賬(eft)領(lǐng)域中�����。2.非對稱加密�����。在非對稱加密體系中,密鑰被分解為一對(即公開密鑰和私有密鑰)�����。這對密鑰中任何一把都可以作為公開密鑰通過非保密方式向他人公開,而另一把作為私有密鑰加以保存�����。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對應(yīng)于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應(yīng)用于身份認證�����、數(shù)字簽名等信息交換領(lǐng)域�����。
(三)pki技術(shù)�����。pki技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施�����。pki技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)�����。由于通過網(wǎng)絡(luò)進行的電子商務(wù)�����、電子政務(wù)�����、電子事務(wù)等活動缺少物理接觸,因此使得用電子方式驗證信任關(guān)系變得至關(guān)重要�����。而pki技術(shù)作為一種相對安全的技術(shù)�����,恰恰成為了電子商務(wù)�����、電子政務(wù)�����、電子事務(wù)的密碼技術(shù)的首要選擇,在實際的操作過程中他能夠有效地解決電子商務(wù)應(yīng)用中的機密性�����、真實性�����、完整性�����、不可否認性和存取控制等安全問題,而進一步保護客戶的資料安全�����。
二�����、計算機網(wǎng)絡(luò)安全存在的問題
(一)互聯(lián)網(wǎng)絡(luò)的不安全性�����。1.1網(wǎng)絡(luò)的開放性,由于現(xiàn)代網(wǎng)絡(luò)技術(shù)是全開放的,所以在一定程度上導(dǎo)致了網(wǎng)絡(luò)面臨著來自多方面的攻擊。這其中可能存在來自物理傳輸線路的攻擊,也有肯那個來自對網(wǎng)絡(luò)通信協(xié)議的攻擊�����,也包括來自于本地網(wǎng)絡(luò)的用戶,還可以是互聯(lián)網(wǎng)上其他國家的黑客等等。1.2網(wǎng)絡(luò)的自由性,大多數(shù)的網(wǎng)絡(luò)對用戶的使用沒有技術(shù)上的約束,用戶可以自由的上網(wǎng),和獲取各類信息。 這也為了影響網(wǎng)絡(luò)安全的一個主要因素�����。
(二)操作系統(tǒng)存在的安全問題�����。操作系統(tǒng)作為一個支撐軟件,使得你的程序或別的運用系統(tǒng)在上面正常運行的一個環(huán)境�����。操作系統(tǒng)提供了很多的管理功能,主要是管理系統(tǒng)的軟件資源和硬件資源。操作系統(tǒng)軟件自身的不安全性,系統(tǒng)開發(fā)設(shè)計的不周而留下的破綻,都給網(wǎng)絡(luò)安全留下隱患�����。
1.操作系統(tǒng)結(jié)構(gòu)體系的缺陷�����。操作系統(tǒng)本身有內(nèi)存管理�����、cpu管理�����、外設(shè)的管理,每個管理都涉及到一些模塊或程序,如果在這些程序里面存在問題,比如內(nèi)存管理的問題,外部網(wǎng)絡(luò)的一個連接過來,剛好連接一個有缺陷的模塊,可能出現(xiàn)的情況是,計算機系統(tǒng)會因此崩潰�����。所以,有些黑客往往是針對操作系統(tǒng)的不完善進行攻擊,使計算機系統(tǒng),特別是服務(wù)器系統(tǒng)立刻癱瘓。2.操作系統(tǒng)支持在網(wǎng)絡(luò)上傳送文件�����、加載或安裝程序,包括可執(zhí)行文件,這些功能也會帶來不安全因素�����。網(wǎng)絡(luò)很重要的一個功能就是文件傳輸功能,比如ftp,這些安裝程序經(jīng)常會帶一些可執(zhí)行文件,這些可執(zhí)行文件都是人為編寫的程序,如果某個地方出現(xiàn)漏洞,那么系統(tǒng)可能就會造成崩潰�����。3.操作系統(tǒng)不安全的一個原因在于它可以創(chuàng)建進程,支持進程的遠程創(chuàng)建和激活,支持被創(chuàng)建的進程繼承創(chuàng)建的權(quán)利,這些機制提供了在遠端服務(wù)器上安裝“間諜”軟件的條件�����。若將間諜軟件以打補丁的方式“打”在一個合法用戶上,特別是“打”在一個特權(quán)用戶上,黑客或間諜軟件就可以使系統(tǒng)進程與作業(yè)的監(jiān)視程序監(jiān)測不到它的存在�����。
(三)防火墻的局限性�����。防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間�����、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障.它是一種計算機硬件和軟件的結(jié)合,使內(nèi)部網(wǎng)與外部網(wǎng)之間建立起一個安全網(wǎng)關(guān)(security gateway),從而保護內(nèi)部網(wǎng)免受非法用戶的侵入�����。
三�����、結(jié)束語
計算機網(wǎng)絡(luò)安全是一項復(fù)雜的系統(tǒng)工程,涉及技術(shù)�����、設(shè)備�����、管理和制度等多方面的因素,安全解決方案的制定需要從整體上進行把握。網(wǎng)絡(luò)安全解決方案是綜合各種計算機網(wǎng)絡(luò)信息系統(tǒng)安全技術(shù),將安全操作系統(tǒng)技術(shù)�����、防火墻技術(shù)�����、病毒防護技術(shù)�����、入侵檢測技術(shù)�����、安全掃描技術(shù)等綜合起來,形成一套完整的、協(xié)調(diào)一致的網(wǎng)絡(luò)安全防護體系�����。我們必須做到管理和技術(shù)并重,安全技術(shù)必須結(jié)合安全措施,并加強計算機立法和執(zhí)法的力度,建立備份和恢復(fù)機制,制定相應(yīng)的安全標準�����。此外,由于計算機病毒�����、計算機犯罪等技術(shù)是不分國界的,因此必須進行充分的國際合作,來共同對付日益猖獗的計算機犯罪和計算機病毒等問題。
參考文獻:
