第一篇:《网络安全技术》课程介绍
《网络安全技术》课程介绍
本课程是计算机网络技术专业和信息安全专业的专业核心课,主要讲述计算机网络安全的相关内容。课程特点采用理论与实践相结合的方式对网络安全相关知识做了深入浅出的介绍。
下面从以下几方面介绍本门课程:
(1)教学目标
通过本课程的学习,要求学生从理论上了解网络安全的现状,熟悉常用加密算法、数字签名技术、保密通信技术和计算机病毒的原理及基本的攻防技术。
从实践角度看,学生学完本课程之后能够对主机进行基本的安全配置、对Web服务器做基本的安全配置、掌握基本的攻防技术、掌握基本的VPN技术。
(2)本课程的教学覆盖面
本课程的教学覆盖范围包括保密通信、主机安全、Web安全、黑客与病毒、VPN。其中重度点内容包括:数字签名、主机安全配置、基本的攻防技术。课程难点内容包括:公钥密码的原理,web上SSL协议的实现。
(3)教学方法及组织形式
针对本门课程的特点,本课主要采用理论教学与实训教学相结合的教学方法,理论课上应用多媒体课件、动画及视频等多种媒体手段生动形象的描述有关知识,实训课上以专门的实训系统和安全靶机为平台,针对不同实训特点,采取分组实验,让学生真正接触并掌握网络安全的实践技能。
(4)授课对象
本门课的授课对象主要是高职高专的学生,因此所讲理论要求密切与实训结合。实训过程密切与生产结合。
(5)教材与参考资料
课程选用的教材是在吉林中软吉大公司出品的《网络综合教学实训系统——网络安全技术篇》基础上改编的校内教材,参考的文献主要包括清华大学出版的《计算机网络安全》、人民邮电出版的《计算机网络安全技术》等教材、中国知网等知名数据库中的论文,以及网上的一些相关资料。
第二篇:网络安全技术课程论文
《网络安全技术》课程论文
题
目:
网络黑客 院
(部):
商学院 专
业:
电子商务 班
级:
姓
名:
学
号:
指导教师:
完成日期:
网 络 黑 客
摘要:随着网络在人们生活与工作的各方面使用的日益普遍,网络安全问题已经成为一 个被人们强烈关注的热点。而其中黑客攻击所造成的安全问题是很重要的一个方面。本文将介绍有关黑客使用的手段,造成的威胁与应对的方法。随着网络在人们生活与工作的各方面使用的日益普遍,网络安全问题已经成为一 个被人们强烈关注的热点。而其中黑客攻击所造成的安全问题是很重要的一个方面。本文将介绍有关黑客使用的手段,造成的威胁与应对的方法。关键词:网络安全,黑客技术,黑客,病毒,防火墙。
一、网络安全的定义
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全包含网络设备安全、网络信息安全、网络软件安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
二、黑客技术
2.1定义
黑客是英文“Hacker”的英文译音,它起源于美国麻省理工学院的计算机实验室中。早期黑客只是利用自己的智慧和特殊的技术,揭露软件和网络系统中的漏洞,以便让制造商和网络管理人员及时修补。然而,当互联网以远比人们预料快的多的速度发展的时候,黑客原有的“揭露漏洞,不进 行破坏,帮助完善系统”的信条已发生了变异,现代的黑客已经分化为三类,一是初级黑客, 这些人一般没有特殊的企图,只是出于好奇心,追求刺激,试探性地对网络进行攻击;二是 高水平黑客,这些人出于利益的驱动,为达到一定的目的,有针对性地对网络进行攻击;三 是职业黑客,这些人其本身可能就是恐怖分子,经济或政治间谍等,由于他们的水平极高, 攻击具有很大的隐蔽性,因而造成的损失也最大。总之,从发展趋势看,黑客正在不断地走向系统化,组织化和年轻化。
2.2中国黑客的现状
如今国内黑客站点门派繁多,但整体素质不如人意,有的甚至低劣。主要体现在以下几点:(1)叫法不一,很不正规。(2)技术功底薄弱,夸大作风。
(3)内容粗制滥造,应付了事,原创作品少,且相互抄袭。曾有某篇文章说,中国的黑客一代不如一代。
(4)效率低,更新少,可读性差,界面杂乱。有些站点很少更新,死链接,打不开,站点杂乱,经常有死链接,作品抄袭。
(5)整体技术水平不高,研究层次级别低。(6)缺少一个统一协调中国黑客界行动发展的组织。2.3黑客的危害
由于成为黑客并实施黑客攻击越来越容易,因此黑客攻击的事件越来越多,造成的危害也就越来越严重,归纳起来,主要有以下几种: 2.31 充当政治工具
近年来,黑客活动开始染上政治色彩,用非法入侵到国防,政府等一些机密信息系统,盗取国家的军 事和政治情报等做法危害国家安全。
2.32 用于战争
通过网络,利用黑客手段侵入敌方信息系统,获取军事信息,发布假信息,病毒,扰乱对 方系统等等。
2.33非法侵入他人的系统,获取个人隐私获得信息以便利用其进行敲诈,勒索或损害他人的名誉,炸毁电子邮箱,使系统瘫痪等。
三、黑客的攻击原理
3.1 拒绝服务攻击。拒绝服务攻击是一种利用 TCP/IP 协议的弱点和系统存在的漏洞,对网络设备进行攻击的行为。它以消耗网络带宽和系统资源为目的,对网络服务器发送大量“请求”信息,造成网络或服务器系统不堪重负,致使系统瘫痪而无法提供正常的网络服务。
3.2 恶意程序攻击
利用一些特殊的数据包传送给目标主机,使其做出相对应的响应,由于每种操作系统的响应时间和方式都是不一样的,黑客利用这种特征把得到的结果与准备好的数据库中的资料相对照,从中便可轻而易举地判断出目标主机操作系统所用的版本及其他相关信息, 尤其是对于某些系统,互联网上已发布了其安全漏洞所在,但用户由于不懂或一时疏忽未下载并安装网上发布 的该系统的“补丁”程序,那么黑客就可以自己编写一段程序进入到该系统进行破坏.还有一些黑客准备了后门程序, 即进入到目标系统后为方便下一次入侵而安装在被攻击计算机系统 内的一些程序,为该计算机埋下了无穷无尽的隐患,给用户造成了不可预测的损失。
3.3 欺骗攻击
每一台计算机都有一个IP 地址,登录时服务器可以根据这个IP 地址来判断来访者的身份。TCP/IP 协议是用 IP 地址来作为网络节点的惟一标识,因此攻击者可以在一定范围内直接修改节点的 IP地 3
址,冒充某个可信节点的IP地址进行攻击,欺骗攻击就是一种利用假IP 地址骗取服务器的信任,实现非法登录的入侵方法。
3.4 对用户名和密码进行攻击。此种攻击方式大致分为三种情况,一是对源代码的攻击,对于网站来说,由于ASP的方便易用,越来越多的网站后台程序都使用ASP脚本语言。但是,由于ASP本身存在一些 安全漏洞,稍不小心就会给黑客提供可乘之机。第二种攻击的方法就是监听,用户输入的密码需要从用户端传送到服务器端进行系统对其的校验,黑客能在两端之间进行数据监听。一般系统在传送密码时都进行了加密处理, 即黑客所得到的数据中不会存在明文的密码, 因此, 这种手法一般运用于局域网,一旦成功,攻击者将会得到很大的操作权益。第三是解密,就是使用穷举法对已知用户名的密码进行解密。这种解密软件对尝试所有可能字符所组成的密码。这种方法十分耗时,但在密码设置简单的情况下却比较容易得手。
四、防范措施
4.1提高安全意识
(1)不要随意打开来历不明的电子邮件及文件,不要随便运行不太了解的人给你的程序,比如“特洛伊”类黑客程序就需要骗你运行。
(2)避免从Internet下载不知名的软件、游戏程序。即使从知名的网站下载的软件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。
(3)密码设置尽可能使用字母数字混排,单纯的英文或者数字很容易穷举。将常用的密码设置为不同,防止被人查出一个,连带到重要密码。重要密码最好经常更换。
(4)及时下载安装系统补丁程序。
(5)不随便运行黑客程序,不少这类程序运行时会发出你的个人信息。
(6)在支持HTML的BBS上,如发现提交警告,先看源代码,很可能是骗取密码的陷阱。
4.2 使用防毒、防黑等防火墙软件
(1)防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。
(2)防火墙的主要功能包括
1)、检查所有从外部网络进入内部网络的数据包;
2)、检查所有从内部网络流出到外部网络的数据包。
3)、执行安全策略,限制所有不符合安全策略要求的数据包通过。
4)、具有防攻击能力,保证自身的安全性的能力。(3)防火墙具有以下优点:
1)、防火墙对企业内部网实现了集中地安全管理,可以强化网络安全策略,比分散的主机管理更经济易行。2)、防火墙能防止非授权用户进入内部网络。3)、防火墙可以方便地监视网络安全性并报警。
4)、可以作为部署网络地址转换的地点,利用NAT技术,可以缓解地址空间的短缺,隐藏内部网的结构。
5)、由于所有的访问都经过防火墙,防火墙是审计和记录网络访问和使用的最佳地方。
五、越来越不对称的威胁
Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上的其他系统的安全状态。由于攻击技术的进步,一个攻击者可以比较容易地利用分布式系统,对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高,威胁的不对称性将继续增加。
总结
互联网开辟了一个新的世界,它的出现和发展如此之快,远远超出了专家的预测,由于互联网的开放性,随意性,虚拟性,方便性在给人类提供了资源共享的有利条件和新的通信方式,给人们带来了一个新的创造,展示和实现自我的虚拟世界,也带来了负面影响。人们经常使用的操作系统和互联网的 TCP/IP 协议有着许多安全漏洞,使得黑客攻击互联网成为 可能.当然,黑客攻击事件的增多,破坏性增大,有系统本身不安全的因素,安全技术滞后 的因素,但同时,人的因素不容忽视。应该让所有网民知道互联网是不安全的,使网民建立 起安全防范意识,并且使其懂得保护安全,防范黑客和病毒的最基本方法,比如怎样设置一个相对安全的密码,怎样利用大众软件中一些安全设置,像 windows,outlook 等,怎样防范病毒以及使用杀毒软件等等,不要让那些因为网民对安全的无知和不警惕,但实际非常容 易避免的不安全事件发生。拒绝黑客,保障互联网的安全,需要定完善的安全管理机制和管理制度对黑客的犯罪的严厉打击。
参考文献
[1] 蔡立军.计算机网络安全技术.中国水利水电出版社,第二版
[2] 孙华国.浅析网络黑客.中国科技信息报,2005
[3] Jerry Lee Ford Z.个人防火墙.人民邮电出版社,2002
[4]余建斌.黑客的攻击手段及用户对策.北京人民邮电出版社,1998
第三篇:《网络安全技术》课程总结报告
《网络安全技术》
课程总结报告
学校名称 班级学号 姓名
20XX年X月
文件安全传输
计算机网络的迅猛发展引发了人们对网络安全的重视,信息安全的目标在于保证信息的保密性、完整性、可靠性、可用性和不可否认性。网络漏洞是系统软、硬件存在安全方面的脆弱性。安全漏洞的存在导致非法用户入侵系统或未经授权获得访问权限,造成信息篡改和泄露、拒绝服务或系统崩溃等问题。
文件安全传输方案:
2.1 方案要求
1.熟悉安全通信中常用的加密算法; 2.熟悉数字签名过程;
3.实现文件传输信息的保密性、完整性和不可否认性。
2.2 主要仪器名称
1.Windows 2000/XP计算机两台。2.CIS工具箱。
2.3 方案内容
1.将任意两台主机作为一组,记为发送方——终端A和接收方——终端B。使用“快照X”恢复Windows系统环境。
2.终端A操作:
1)与终端B预先协商好通信过程中所使用的对称加密算法,非对称加密算法和哈希函数;
2)采用对称加密算法(密钥称之为回话密钥)对传输信息进行加密文,确保传输信息的保密性;
64位密码:c080400414 明文:hello world!密文:{115097728,-1527542226,315982460,167601359}
3)使用终端B的公钥对回话密钥进行加密,确保传输信息的保密性以及信息接收方的不可否认性;
接收方RSA公钥(e,n):(101,143)DES密码密文:{99,81,23,81,52,81,81,52} 4)采用哈希函数(生成文件摘要)确保传输信息的完整性,并使自己的私钥对文件摘要进行签名(得到数字签名),确保信息发送方的不可否认性;
获取摘要:{3468fb8a6340be53d2cf10fb2defof5b} 数字签名:
{1130,582,1833,4,1991,1002,582,750,1002,1130,1465,1991,1130,500,500,1238,1002,750,500,538,1238,153,1833,500,4,85,1204,1130,750,4,538,1465} RSA私钥(d,n):(101,143)5)将密文加密后的会话密钥和数字签名打包封装(放在一起)后,通过网络传输给终端B。
3.终端B操作:
1)与终端A预先协商好通信过程中所使用到的对称加密算法;
2)使用自己的私钥对终端A加密的会话密钥进行解密,得到准会话密钥; 3)使用准会话密钥对得到的密文进行解密得到准明文;
4)使用终端A的公钥对得到的数字签名进行解密,得到准明文摘要; 5)使用哈希函数计算得到准明文摘要;
6)将计算得到的摘要与准明文摘要进行比较,若相同则表明文件安全传输成功。
接收方:
使用自己的私钥101对发送方加密的会话密钥进行解密的c0804004 使用密钥c0804004对密文进行解密,得到hello word!
使用发送方的公钥(1411,2041)对得到的数字签名进行解密,得到准明文摘要
使用哈希函数计算得准明文摘要{3468fb8a6340be53d2cf10fb2defof5b} 将计算得到的摘要与准明文摘要进行比较,发现相同说明文件安全传输成功
2.4 对文件使用非对称加密算法直接加密的可行性
不可行。非对称加密算法安全性依赖于算法与密钥,其中用于消息解密的密钥值与用于消息加密的密钥值不同,但是由于其算法复杂,并且待加密的文件或信息一般较长,使得加密解密速度比对称加密解密的速度慢数千倍。
而AES对称机密算法是高级加密标准,速度快并且安全级别高,更适用于大量数据的加密场合。不过因为非对称加密算法通常有两个密钥,其中“公钥”可以对外公布,“私钥”则只能由持有人一个人知道,两者必须配对使用,否则不能打开加密文件。因而表现出非对称加密算法的优越性,对称式的加密方法如果是在网络上传输加密文件就很难把密钥告知对方,不管用什么方法都有可能被窃听到;这时用非对称的方式对密钥再做一次加密,收件人解密是只要用自己的私钥就可以,这样能很好地避免密钥的传输安全性问题。所以一般经常用其加密对称加密算法所使用过的密钥。防火墙技术
网络扫描通过选用远程TCP/IP不同端口的服务,并记录目标给予的回答,可以搜集到很多关于目标网络的有用信息,如系统开放的端口、提供的服务、服务进程守护程序的版本号、操作系统类型、操作系统的版本、网络拓扑结构、防火墙规则和闯入察觉装置等。下面阐述端口扫描和远程操作系统扫描的主要技术。
实验目的:
1.了解防火墙的含义与作用 2.学习防火墙的基本配置方法
主要仪器名称:
1.Windows 2003系统防火墙 2.Udptools-udp连接工具
实验原理:
1.防火墙基础操作:
操作概述,启用windows 2003系统防火墙,设置规则阻断icmp回显请求数据包,并验证对UDP工具的里外操作
在启用windows 2003系统防火墙之前,同组主机通过ping指令相互测试网络连通性确保相互连通的,若测试未通过先排除故障
2.本机启用防火墙,并设置防火墙对本地连接,进行操作 3.同组主机通过ping之恋互相测试网络连通性,确保相互连通 4.设置本级防火墙允许其传入icmp回显请求 5.第三次测试网络连通性
2.1 NAT服务器正常运行的检测
传输控制协议TCP和用户数据报协议UDP,分别为应用层提供可靠的面向连接的服务和无连接服务。其中,UDP协议相对比较简单。
启用Windows2003系统防火墙,设置规则阻断ICMP回显请求数据包,并验证针对UDP连接工具的例外操作。
1.在启用防火墙之前,同组主机通过ping指令互相测试网络连通性,确保相互是联通的。若测试未通过则需要清楚故障;
2.本机启用防火墙,并设置防火墙仅对“本地连接”保护;
3.同组主机通过ping指令互相测试网络连通性,确认是否相互连通; 回答:没有连接,测试超时。
4.设置本机防火墙允许其传入icmp回显请求; 5.第n词测试网络连通性。回答:测试连接成功。
2.2 NAT服务器——防火墙(Network Address Translation)NAT是在局域网内部网络中使用内部地址,而当内部借点要与外部网络进行通讯时,就在网关处,将内部地址替换成公用地址,从而在外部公网上正常使用。
NAT服务器的网络地址转换
1.客户机将数据包发给运行NAT的计算机;
2.NAT将数据包中的端口号和专用的IP地址换为自己的端口号和公用的IP地址,然后将数据包发给外部网络的目的主机,同时记录一个跟踪信息在映像表中,以便向客户机发送回答信息;
3.外部网络发送回答信息给NAT;
4.NAT将所收到的数据包的端口号和公用IP地址转换为客户机的端口号和内部网络使用的专用IP地址并转发给客户机;
5.NAT服务器可使内部网络与外部网络无法直接访问,而要通过它的转换,将内部网络与外部网络隔离开来,因此NAT服务器可起到防火墙的作用。入侵检测技术 Snort是一个强大的轻量级的网络入侵检测系统,它具有实时数据流量分析和记录IP网络数据包功能,能够进行协议分析,对网络数据包内容进行协议分析,对网络数据包内容进行搜索/匹配,他能够检测各种不同的攻击方式,对攻击进行实时报警,此外,Snort是开放源的入侵检测系统,并且有很好的扩展性和可移植性。
3.1 嗅探器
嗅探器模式是从网络上读取数据包并作为连续不断的流显示在终端上。
1.启动Snort,进入实验平台,单击工具栏:“控制台”按钮,进入IDS工作目录,运行Snort对网络etho进行监听。并遵循以下要求:
1)仅捕获同组主机发出的icmp回显请求数据包; 2)利用详细模式在终端显示数据链路层,应用层信息; 3)对捕获的信息进行日志记录。
Snort命令:Snort-i etho-deo icmp and src net 172.16.0.37-l/var/log/Snort 2.查看Snort日志记录 Snort数据包记录
1)对网络接口etho进行监听,仅捕获同组主机发出的Telent请求数据包,并将捕获数据包以二进制方式进行,存储到日志文件中;
2)当前主机执行上述命令,同组主机Telent远程登录当前主机; 3)停止Snort,捕获读取Snort.log文件,查看数据包内容。
3.2 数据包记录器
数据包记录器模式是把数据包记录到硬盘上。
1.对网络接口etho进行监听,仅捕获同组主机发出的telnet请求数据包并将捕获数据包以二进制方式进行存储到日志文件中。
Snort命令:Snort-i etho-b top and src net 172.16.0.37 and dst port 23 2.当前主机执行上述命令,同组主机telnet远程登录到当前主机。3.停止Snort捕获,读取Snort.log文件,查看数据包内容。Snort命令:Snort-r/var/log/Snort/Snort.log.1304385940
3.3 网络入侵检测系统 网路入侵检测模式是最复杂的,而且是可配置的。可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。
1.在Snort规则集目录/opt/ids/rules下新建Snort规则集文件new.rules,对来自外部主机的目标为当前主机80/tcp端口的请求数据包进行报警。报警消息自定义,Snort规则alert tcp!172.16.0.39 any→172.16.0.39 80 2.编辑Snort.conf配置文件,使其包含new.rules规则集文件,具体操作如下:使用Vim编辑器打开Snort.conf,切至编辑模式,在最后添加新行包含规则集文件new.rules。添加包涵new.rules规则集文件语句Include $RULE-PATH/new.rules 3.以入侵检测方式启动Snort,进行监听
启动命令:/Snort-c Snort conf。以入侵检测公事启动Snort,同组主机访问当前主机Web服务。病毒攻防技术
实验目的:
1.了解脚本病毒的工作原理
2.了解脚本病毒常见的感染目标和感染方式 3.掌控编写脚本病毒专杀工具的一般方法
主要仪器名称:
Windows脚本安全wsh 能够解释执行VBS和JS文件
4.1 简介
脚本程序的执行环境需要WSH环境,WSH为宿主脚本创建环境。即当脚本到达计算机时,WSH充当主机的不分,它使对象和服务可用于脚本,并提供一系列脚本执行指南。
4.2 脚本病毒的主要特征
1. 由于脚本是直接执行,可以直接通过自我复制的方式传染其他同类文件,并且使异常处理变得非常容易; 2. 脚本病毒通过HTML文档,Email附件或其它方式,可以在很短的时间内传遍世界各地;
3. 新型的邮件病毒,邮件正文即为病毒,用户接收到带毒文件后,即使不将邮件打开,只要将鼠标指向邮件,通过预览功能被激活;
4. 病毒源码容易被获取,变种多; 5. 欺骗性强。
4.3 脚本病毒的查杀方法
1.卸载Windows Scriping Host;
2.禁用文件系统对象FileSystem()bject;
3.在Windows目录中或任务管理器进程里,找到WScript.exe更改名称,结束进程或删除,如右图;
4.设置浏览器;
5.禁止OE自动收发邮件功能; 6.进入注册表编辑器,找到注册表项:HKEY_LOCAL_MACHINEsoftwareMicrosoftWindowsCurrentVersionrunMSKernel32,将其删除,如下图;
7.设计脚本病毒专杀工具查杀病毒,如下图。
第四篇:计算机网络安全技术课程论文
浅谈计算机网络安全技术
学号******姓名 ** .1摘要:随着计算机网络在人类生活领域中的广泛应用,针对计算机网络的攻击事件也随之增加。网络已经无所不在的影响着社会的政治、经济、文化、军事、意识形态和社会生活等各个方面。同时在全球范围内,针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍在持续不断增加,网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。诸如此类的事件已给政府及企业造成了巨大的损失,甚至危害到国家的安全。网络安全已成为世界各国当今共同关注的焦点,网络安全的重要性是不言而喻的,因此,对漏洞的了解及防范也相对重要起来。在我的这篇论文里,将综合概括计算机网络安全来源,计算机通信网络安全的客观因素,以及应对计算机通信网络安全的基本策略。
关键词 :网络安全的来源 /计算机网络安全/ 防护技术
.2引言
随着信息时代的加速到来,人们对因特网的依赖也越来越强,网络已成为人们生活中不可缺少的一部分。计算机网络在为人们提供便利、带来效益的同时,也使人类面临着信息安全的巨大挑战。
组织和单位的计算机网络是黑客攻击的主要目标。如果黑客组织能攻破组织及单位的计算机网络防御系统,他就有访问成千上万计算机的可能性。据统计,近年来因网络安全事故造成的损失每年高达上千亿美元。计算机系统的脆弱性已为各国政府与机构所认识,因此对于计算机网络安全的建立与防护得到各国的极度关注。建立安全的全球性安全网络是件迫不及待的任务,各国人们都在此投入大量人力,物力,财力来确保计算机网络安全。
.3影响计算机通信网络安全的因素分析
3.1影响计算机通信网络安全的客观因素。
3.1.1 网络资源的共享性。计算机网络最主要的一个功能就是“资源共享”。无论你是在天涯海角,还是远在天边,只要有网络,就能找到你所需要的信息。所以,资源共享的确为我们提供了很大的便利,但这为系统安全的攻击者利用共享的资源进行破坏也提供了机会。
3.1.2
网络操作系统的漏洞。操作系统漏洞是指计算机操作系统本身所存在的问题或技术缺陷。由于网络协议实现的复杂性,决定了操作系统必然存在各种的缺陷和漏洞。
3.1.3网络系统设计的缺陷。网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。
3.1.4网络的开放性。网上的任何一个用户很方便访问互联网上的信息资源,从而很容易获取到一个企业、单位以及个人的信息。
3.1.5恶意攻击。恶意攻击就是人们常见的黑客攻击及网络病毒.是最难防范的网络安全威胁。随着电脑教育的大众化,这类攻击也越来越多,影响越来越大。无论是DOS 攻击还是DDOS 攻击,简单的看,都只是一种破坏网络服务的黑客方式,虽然具体的实现方式千变万化,但都有一个共同点,就是其根本目的是使受害主机或网络无法及时接收并处理外界请求,或无法及时回应外界请求。具体表现方式有以下几种:(1)制造大流量无用数据,造成通往被攻击主机的网络拥塞,使被攻击主机无法正常和外界通信。(2)利用被攻击主机提供服务或传输协议上处理重复连接的缺陷,反复高频的发出攻击性的重复服务请求,使被攻击主机无法及时处理其它正常的请求。(3)利用被攻击主机所提供服务程序或传输协议的本身实现缺陷,反复发送畸形的攻击数据引发系统错误而分配大量系统资源,使主机处于挂起状态甚至死机。
DOS 攻击几乎是从互联网络的诞生以来,就伴随着互联网络的发展而一直存在也不断发展和升级。值得一提的是,要找DOS 的工具一点不难,黑客网络社区都有共享黑客软件的传统,并会在一起交流攻击的心得经验,你可以很轻松的从Internet 上获得这些工具。所以任何一个上网者都可能构成网络安全的潜在威胁。DOS 攻击给飞速发展的互联网络安全带来重大的威胁。然而从某种程度上可以说,D0S 攻击永远不会消失而且从技术上目前没有根本的解决办法。
3.2影响计算机网络通信安全的主观因素。主要是计算机系统网络管理人员缺乏安全观念和必备技术,如安全意识、防范意思等网络安全 4.1.防火墙技术
目前,防火墙有两个关键技术,一是包过滤技术,二是代理服务技术。1)包过滤技术
包过滤技术主要是基于路由的技术,即依据静态或动态的过滤逻辑,在对数据包进行转发前根据数据包的目的地址、源地址及端口号对数据包进行过滤。包过滤不能对数据包中的用户信息和文件信息进行识别,只能对整个网络提供保护。一般说来,包过滤必须使用两块网卡,即一块网卡连到公网,一块网卡连到内网,以实现对网上通信进行实时和双向的控制。
包过滤技术具有运行速度快和基本不依赖于应用的优点,但包过滤只能依据现有数据包过滤的安全规则进行操作,而无法对用户在某些协议上进行各种不同要求服务的内容分别处理,即只是机械地允许或拒绝某种类型的服务,而不能对服务中的某个具体操作进行控制。因此,对于有些来自不安全的服务器的服务,仅依靠包过滤就不能起到保护内部网的作用了。2)代理服务技术
代理服务又称为应用级防火墙、代理防火墙或应用网关,一般针对某一特定的应用来使用特定的代理模块。代理服务由用户端的代理客户和防火墙端的代理服务器两部分组成,其不仅能理解数据包头的信息,还能理解应用信息本身的内容。当一个远程用户连接到某个运行代理服务的网络时,防火墙端的代理服务器即进行连接,IP报文即不再向前转发而进入内网。
代理服务通常被认为是最安全的防火墙技术,因为代理服务有能力支持可靠的用户认证并提供详细的注册信息。
代理服务的代理工作在客户机和服务器之间,具有完全控制会话和提供详细日志、安全审计的功能,而且代理服务器的配置可以隐藏内网的IP地址,保护内部主机免受外部的攻击。此外,代理服务还可以过滤协议,如过滤FTP连接,拒绝使用PUT命令等,以保证用户不将文件写到匿名的服务器上去。
代理服务在转发网络数据包的方式与包过滤防火墙也不同,包过滤防火墙是在网络层转发网络数据包,而代理服务则在应用层转发网络访问。
以上介绍了两种防火墙技术。由于此项技术在网络安全中具有不可替代的作用,因而在最近十多年里得到了较大的发展,已有四类防火墙在流行,即包过滤防火墙、代理防火墙、状态检测防火墙和第四代防火墙。4.2.防病毒技术
Internet在为人类传播和交换信息的同时,也为计算机病毒的传播和发展提供了良好的平台,针对网络的病毒正以惊人的速度,向着更具破坏性、更加隐蔽、感染率更高、传播速度更快、更多种类、适应平台更广泛的方向发展。计算机网络安全防范的一项重要内容,就是在充分保证计算机网络安全和对计算机网络性能影响最小的前提下,有效地防止计算机病毒的侵袭。
4.3.加强计算机网络安全的对策措施
4.3.1 加强网络安全教育和管理
对工作人员结合机房、硬件、软件、数据和网络等各个方面安全问题,进行安全教育,提高工作人员的安全观念和责任心;加强业务、技术的培训,提高操作技能;教育工作人员严格遵守操作规程和各项保密规定,防止人为事故的发生。同时,要保护传输线路安全。对于传输线路,应有露天保护措施或埋于地下,并要求远离各种辐射源,以减少各种辐__射引起的数据错误;线缆铺设应当尽可能使用光纤,以减少各种辐射引起的电磁泄漏和对发送线路的干扰。要定期检查连接情况,以检测是否有搭线窃听、非法外连或破坏行为。
4.3.2 运用网络加密技术
网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。加密数据传输主要有三种:①链接加密。在网络节点间加密,在节点间传输加密的信息,传送到节点后解密,不同节点间用不同的密码。②节点加密。与链接加密类似,不同的只是当数据在节点间传送时,不用明码格式传送,而是用特殊的加密硬件进行解密和重加密,这种专用硬件通常放置在安全保险箱中。③首尾加密。对进入网络的数据加密,然后待数据从网络传送出后再进行解密。网络的加密技术很多,在实际应用中,人们通常根据各种加密算法结合在一起使用,这样可以更加有效地加强网络的完全性。网络加密技术也是网络安全最有效的技术之一。既可以对付恶意软件攻击,又可以防止非授权用户的访问。
4.3.3 加强计算机网络访问控制:
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非正常访问,也是维护网络系统安全、保护网络资源的重要手段。访问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制。根据网络安全的等级、网络空间的环境不同,可灵活地设置访问控制的种类和数量。
4.3.4 使用防火墙技术:
采用防火墙技术是解决网络安全问题的主要手段。防火墙技术是建立在现代通信网络技术和信息技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中。防火墙是在网络之间执行访问控制策略的系统,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况。具备检查、阻止信息流通过和允许信息流通过两种管理机制,并且本身具有较强的抗攻击能力。在逻辑上,防火墙是一个分离器、限制器和分析器,可以有效地监控内部网和Internet 之间的任何活动,保证内部网络的安全。防火墙的应用可最大限度地保障网络的正常运行,它可以起着提高内部网络的安全性、强化网络安全策略、防止内部信息泄漏、网络防毒、信息加密、存储通信、授权、认证等重要作用。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等诸多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施。因此,只有综合采取多种防范措施,制定严格的保密政策和明晰的安全策略,才能完好、实时地保证信息的机密性、完整性和可用性,为网络提供强大的安全保证。
05计算机网络的安全策略
5.4.1物理安全策略。物理安全策略目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。物理安全策略还包括加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。网络安全管理策略包括:确定安全管理等级和安全管理范围;
5.4.2常用的网络安全技术。
5.2.1 网络加密技术。网络加密技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密,端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供加密保护;节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。用户可根据网络情况选择上述三种加密方式。
如果按照收发双方的密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。在实际应用中,人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES 或者IDEA 来加密信息,而采用RSA 来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码算法和分组密码算法,前者每次只加密一个比特。
5.2.2 防火墙技术。防火墙技术是设置在被保护网络和外界之间的一道屏障,是通过计算机硬件和软件的组合来建立起一个安全网关,从而保护内部网络免受非法用户的入侵,它可以通过鉴别、限制,更改跨越防火墙的数据流,来保证通信网络的安全对今后计算机通信网络的发展尤为重要。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换—NAT、代理型和状态监测型。
5.2.3 操作系统安全内核技术。操作系统安全内核技术除了在传统网络安全技术上着手,人们开始在操作系统的层次上考虑网络安全性,尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去,从而使系统更安全。操作系统平台的安全措施包括:采用安全性较高的操作系统;对操作系统的安全配置;利用安全扫描系统检查操作系统的漏洞等。美国国防部技术标准把操作系统的安全等级分成了D1、C1、C2、B1、B2、B3、A 级,其安全等级由低到高。目前主要的操作系统的安全等级都是C2 级,其特征包括:①用户必须通过用户注册名和口令让系统识别;②系统可以根据用户注册名决定用户访问资源的权限;③系统可以对系统中发生的每一件事进行审核和记录;④可以创建其他具有系统管理权限的用户。
5.2.5 身份验证技术身份验证技术。身份验证技术身份验证技术是用户向系统出示自己身份证明的过程。身份认证是系统查核用户身份证明的过程。这两个过程是判明和确认通信双方真实身份的两个重要环节,人们常把这两项工作统称为身份验证。它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否为合法的用户,如是合法用户,再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲,其身份验证是建立在对称加密的基础上的。
5.2.6 网络防病毒技术。在网络环境下,计算机病毒具有不可估量的威胁性和破坏力。CIH 病毒及爱虫病毒就足以证明如果不重视计算机网络防病毒,那可能给社会造成灾难性的后果,因此计算机病毒的防范也是网络安全技术中重要的一环。网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测,工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。防病毒必须从网络整体考虑,从方便管理人员的能,在夜间对全网的客户机进行扫描,检查病毒情况;利用在线报警功能,网络上每一台机器出现故障、病毒侵入时,网络管理人员都能及时知道,从而从管理中心处予以解决。06结束语
随着信息技术的飞速发展,影响通信网络安全的各种因素也会不断强化,因此计算机网络的安全问题也越来越受到人们的重视,以上我们简要的分析了计算机网络存在的几种安全隐患,并探讨了计算机网络的几种安全防范措施。
总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
参考文献
[1]吴钰锋,刘泉,李方敏.网络安全中的密码技术研究及其应用[J].真空电子技术,2004.[2]杨义先.网络安全理论与技术[M].北京:人民邮电出版社,2003.[3]李学诗.计算机系统安全技术[M].武汉:华中理工大学出版社,2003.
第五篇:网络安全技术
网络安全技术
——防火墙技术与病毒
摘 要:
计算机网络安全,指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段。而计算机网络安全主要包括计算机网络安全的概况、虚拟网技术、防火墙技术、入侵检测技术, 安全扫描技术, 电子认证和数字签名技术.VPN技术、数据安全、计算机病毒等。防火墙技术作为时下比较成熟的一种网络安全技术,其安全性直接关系到用户的切身利益。针对网络安全独立元素——防火墙技术,通过对防火墙日志文件的分析,设计相应的数学模型和软件雏形,采用打分制的方法,判断系统的安全等级,实现对目标网络的网络安全风险评估,为提高系统的安全性提供科学依据。本文将以最常见的WORD宏病毒为例来解释计算机病毒传播过程。
关键词:网络安全 防火墙技术 计算机病毒
1.1 研究背景
随着互联网的普及和发展,尤其是Internet的广泛使用,使计算机应用更加广泛与深入。同时,我们不得不注意到,网络虽然功能强大,也有其脆弱易受到攻击的一面。据美国FBI统计,美国每年因网络安全问题所造成的经济损失高达75亿美元,而全求平均每20秒钟就发生一起Internet计算机侵入事件。在我国,每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时,对网络安全问题也决不能忽视。如何建立比较安全的网络体系,值得我们关注研究。
1.2 计算机病毒简介
计算机病毒是指那些具有自我复制能力的计算机程序, 它能影响计算机软件、硬件的正常运行, 破坏数据的正确与完整。计算机病毒的来源多种多样, 有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的;有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚, 因为他们发现病毒比加密对付非法拷贝更有效且更有威胁, 这种情况助长了病毒的传播。还有一种情况就是蓄意破坏, 它分为个人行为和政府行为两种, 个人行为多为雇员对雇主的报复行为, 而政府行为则是有组织的战略战术手段。另外有的病毒还是用于研究或实验而设计的“有用”程序, 由于某种原因失去控制扩散出实验室, 从而成为危害四方的计算机病毒。
1987 年, 计算机用户忽然发现, 在世界的各个角落, 几乎同时出现了形形色色的计算机病毒。Brain, Lenig h, IBM 圣诞树, 黑色星期五, 特别是近期发现的几种病毒, 其名气也最大, 它们是: 台湾一号病毒、DIR-Ⅱ病毒、幽灵病毒、米开朗基罗病毒等, 至今, 病毒种类已超过一万种。
1988 年底, 我国国家统计系统发现小球病毒。随后, 中国有色金属总公司所属昆明、天津、成都等地的一些单位, 全国一些科研部门和国家机关也相继发现病毒入侵。自从“中国炸弹”病毒出现后,已发现越来越多的国产病毒。比如目前国内主要有:感染Window s3.x 的“V3783”,感染Window s95/ 98的“CIH”病毒。
纵观计算机病毒的发展历史, 我们不难看出, 计算机病毒已从简单的引导型、文件型病毒或它们的混合型发展到了多形性病毒、欺骗性病毒、破坏性病毒。已从攻击安全性较低的DOS平台发展到攻击安全性较高的Window s95/ 98平台;从破坏磁盘数据发展到直接对硬件芯片进行攻击。1995 年宏病毒的出现, 使病毒从感染可执行文件过渡到感染某些非纯粹的数据文件。最近有资料显示已发现JAVA病毒, 各种迹象表明病毒正向着各个领域渗透, 这些新病毒更隐秘, 破坏性更强。
计算机病毒的种类很多, 不同种类的病毒有着各自不同的特征, 它们有的以感染文件为主、有的以感染系统引导区为主, 大多数病毒只是开个小小的玩笑。
按传染方式分类可分为引导型病毒、文件型病毒和混合型病毒3种。引导型病毒主要是感染磁盘的引导区, 系统从包含了病毒的磁盘启动时传播, 它一般不对磁盘文件进行感染;文件型病毒一般只传染磁盘上的可执行文件(COM, EXE), 其特点是附着于正常程序文件, 成为程序文件的一个外壳或部件;混合型病毒则兼有以上两种病毒的特点, 既感染引导区又感染文件, 因此扩大了这种病毒的传染途径。
按连接方式分类可分为源码型病毒、入侵型病毒和操作系统型病毒等3 种。其中源码型病毒主要攻击高级语言编写的源程序, 它会将自己插入到系统的源程序中, 并随源程序一起编译、连接成可执行文件, 从而导致刚刚生成的可执行文件直接带毒;入侵型病毒用自身代替正常程序中的部分模块或堆栈区的病毒, 它只攻击某些特定程序, 针对性强;操作系统型病毒是用其自身部分加入或替代操作系统的部分功能, 危害性较大。
病毒按程序运行平台分类可分为DOS 病毒、Windows 病毒、WindowsNT病毒、OS/2 病毒等, 它们分别是发作于DOS,Windows9X,WindowsNT, OS/2等操作系统平台上的病毒。而计算机病毒的主要危害:不同的计算机病毒有不同的破坏行为, 其中有代表性的行为如下: 一是攻击系统数据区, 包括硬盘的主引导扇区、Boot 扇区、FAT 表、文件目录。一般来说, 攻击系统数据区的病毒是恶性病毒, 受损的数据不易恢复。二是攻击文件, 包括删除、改名、替换文件内容、删除部分程序代码、内容颠倒、变碎片等等。三是攻击内存。
1.3防火墙概述
随着Internet的迅速发展,网络应用涉及到越来越多的领域,网络中各类重要的、敏感的数据逐渐增多;同时由于黑客入侵以及网络病毒的问题,使得网络安全问题越来越突出。因此,保护网络资源不被非授权访问,阻止病毒的传播感染显得尤为重要。就目前而言,对于局部网络的保护,防火墙仍然不失为一种有效的手段,防火墙技术主要分为包过滤和应用代理两类。其中包过滤作为最早发展起来的一种技术,其应用非常广泛。
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。[4]防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙提供信息安全服务,是实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它有效地监控了内部网络和互联网之间的任何活动,保证了内部网络的安全。
2.防火墙的原理及分类
顾名思义,包过滤防火墙[9]就是把接收到的每个数据包同预先设定的包过滤规则相比较,从而决定是否阻塞或通过。过滤规则是基于网络层IP包包头信息的比较。包过滤防火墙工作在网络层,IP包的包头中包含源、目的IP地址,封装协议类型(TCP,UDP,ICMP或IP Tunnel),TCP/UDP端口号,ICMP消息类型,TCP包头中的ACK等等。如果接收的数据包与允许转发的规则相匹配,则数据包按正常情况处理;如果与拒绝转发的规则相匹配,则防火墙丢弃数据包;如果没有匹配规则,则按缺省情况处理。包过滤防火墙是速度最快的防火墙,这是因为它处于网络层,并且只是粗略的检查连接的正确性,所以在一般的传统路由器上就可以实现,对用户来说都是透明的。但是它的安全程度较低,很容易暴露内部网络,使之遭受攻击。例如,HTTP。通常是使用80端口。如果公司的安全策略允许内部员工访问网站,包过滤防火墙可能设置允所有80端口的连接通过,这时,意识到这一漏洞的外部人员可以在没有被认证的情况下进入私有网络。包过滤防火墙的维护比较困难,定义过滤规则也比较复杂,因为任何一条过滤规则的不完善都会给网络黑客造成可乘之机。同时,包过滤防火墙一般无法提供完善的日志。
应用级代理技术通过在OSI的最高层检查每一个IP包,从而实现安全策略。代理技术与包过滤技术完全不同,包过滤技术在网络层控制所有的信息流,而代理技术一直处理到应用层,在应用层实现防火墙功能。它的代理功能,就是在防火墙处终止客户连接并初始化一个新的连接到受保护的内部网络。这一内建代理机制提供额外的安全,这是因为它将内部和外部网络隔离开来,使网络外部的黑客在防火墙内部网络上进行探测变得困难,更重要的是能够让网络管理员对网络服务进行全面的控制。但是,这将花费更多的处理时间,并且由于代理防火墙支持的应用有限,每一种应用都需要安装和配置不同的应用代理程序。比如访问WEB站点的HTTP,用于文件传输的FTP,用于E一MAIL的SMTP/POP3等等。如果某种应用没有安装代理程序,那么该项服务就不被支持并且不能通过防火墙进行转发;同时升级一种应用时,相应的代理程序也必须同时升级。
代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤[10]和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。同时 也常结合入过滤器的功能。它工作在OSI模型的最高层,掌握着应用系统中可用作安全决策的全部信息。
复合型防火墙:由于对更高安全性的要求,常把基于包过滤的方法与基于应用代理的方法结合起来,形成复合型防火墙产品。这种结合通常是以下两种方案。屏蔽主机防火墙体系结构,在该结构中,分组过滤路由器或防火墙与Internet相连,同时一个堡垒机安装在内部网络,通过在分组过滤器路由器或防火墙上过滤规则的设置,使堡垒机成为Internet上其他节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构:堡垒机放在一个子网内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中,堡垒机和分组过滤路由器共同构成了整个防火墙的安全基础。执行save命令保存退出后就可以在企业外网出口指定IP时实现防火墙数据转发以及安全保护功能了。
3.1防火墙包过滤技术发展趋势
(1)安全策略功能
一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的,包过滤技术的防火墙不具有。用户身份验证功能越强,它的安全级别越高,但它给网络通信带来的负面影响也越大,因为用户身份验证需要时间,特别是加密型的用户身份验证。
(2)多级过滤技术
所谓多级过滤技术,是指防火墙采用多级过滤措施,并辅以鉴别手段。在分组过滤(网络层)一级,过滤掉所有的源路由分组和假冒的IP源地址;在传输层一级,遵循过滤规则,过滤掉所有禁止出或/和入的协议和有害数据包如nuke包、圣诞树包等;在应用网关(应用层)一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所用通用服务。这是针对以上各种已有防火墙技术的不足而产生的一种综合型过滤技术,它可以弥补以上各种单独过滤技术的不足。
这种过滤技术在分层上非常清楚,每种过滤技术对应于不同的网络层,从这个概念出发,又有很多内容可以扩展,为将来的防火墙技术发展打下基础。
(3)功能扩展
功能扩展是指一种集成多种功能的设计趋势,包括VPN、AAA、PKI、IPSec等附加功能,甚至防病毒、入侵检测这样的主流功能,都被集成到防火墙产品中了,很多时候我们已经无法分辨这样的产品到底是以防火墙为主,还是以某个功能为主了,即其已经逐渐向我们普遍称之为IPS(入侵防御系统)的产品转化了。有些防火墙集成了防病毒功能,通常被称之为“病毒防火墙”,当然目前主要还是在个人防火墙中体现,因为它是纯软件形式,更容易实现。这种防火墙技术可以有效地防止病毒在网络中的传播,比等待攻击的发生更加积极。拥有病毒防护功能的防火墙可以大大减少公司的损失。
3.1防火墙的体系结构发展趋势
随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外,在以后几年里,多媒体应用将会越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要,一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。
与基于ASIC的纯硬件防火墙相比,基于网络处理器的防火墙具有软件色彩,因而更加具有灵活性。基于ASIC的防火墙使用专门的硬件处理网络数据流,比起前两种类型的防火墙具有更好的性能。但是纯硬件的ASIC防火墙缺乏可编程性,这就使得它缺乏灵活性,从而跟不上防火墙功能的快速发展。理想的解决方案是增加ASIC芯片的可编程性,使其与软件更好地配合。这样的防火墙就可以同时满足来自灵活性和运行性能的要求。参考文献
[1] 艾军.防火墙体系结构及功能分析[J].电脑知识与技术.2004,(s):79一82.[2] 高峰.许南山.防火墙包过滤规则问题的研究[M].计算机应用.2003,23(6):311一312.[3] 孟涛、杨磊.防火墙和安全审计[M].计算机安全.2004,(4):17一18.[4] 郑林.防火墙原理入门[Z].E企业.2000.[5] 魏利华.防火墙技术及其性能研究.能源研究与信息.2004,20(l):57一62
[6] 李剑,刘美华,曹元大.分布式防火墙系统.安全与环境学报.2002,2(l):59一61
[7] 王卫平,陈文惠,朱卫未.防火墙技术分析.信息安全与通信保密.2006,(8):24一27
[8] 付歌,杨明福.一个快速的二维数据包分类算法.计算机工程.2004,30(6):76一78
[9] 付歌,杨明福,王兴军.基于空间分解的数据包分类技术.计算机工程与应用.2004(8):63一65
[10] 〕韩晓非,王学光,杨明福.位并行数据包分类算法研究.华东理工大学学报.2003,29(5):504一508
[11] 韩晓非,杨明福,王学光.基于元组空间的位并行包分类算法.计算机工程与应用.2003,(29):188一192
[12] 冯东雷,张勇,白英彩.一种高性能包分类渐增式更新算法.计算机研究与发展.2003,40(3):387一392
点击咨询 