第一篇:网络安全与防护
网络安全与防护:
实践环节考核大纲及考核内容:
1.使用X-Scan 3.3扫描器扫描系统存在的漏洞
a.使用X-Scan扫描本机或者其他机器上存在的安全漏洞。
b.学会简单解释扫描报告的含义
c.懂得设置扫描参数,设置指定IP范围、扫描模块
d.学会使用并解释里面的traceroute工具、物理地址查询工具、Ping工具
2.使用江民防火墙设置防火墙规则
a.学会安装江民防火墙,了解保护策略中的防御策略、工作模式是什么
b.了解保护状态下各选项的含义
c.学会使用网络活动功能,懂得用该功能查看本机联网程序的信息,为制定防火
墙的规则提供参考依据。
d.了解流量与活动报告
e.学会设置防火墙设置中的IP规则(如禁止对某网站数据报的进出等)、程序规则、恶意网址、信任程序。学会使用里面的网络包捕获工具、进程查看器
3.使用木马克星或者360安全卫士对本地内存、硬盘进行查杀木马
4.使用与设置常见的杀毒软件360杀毒
5.使用TrueCrypt
a.了解正常安装与便携式安装的区别
b.创建、加载、卸载,加密卷、加密分区、隐藏加密卷、文件型加密卷
c.学会使用密码,使用和生成密钥文件
d.学会设置TrueCrypt、学会更改为中文界面
6.使用md5checker工具检查文件的完整性
7.学会使用Windows自带的任务管理查看或中止异常进程
8.学会使用Syncback软件对指定文件进行同步或者备份,学会使用计划任务调用备份或者同步任务。
第二篇:·网络安全与防护
摘要: 随着互联网技术以及信息技术的飞速发展,网络安全技术已经影响到社会的政治、经济、文化和军事等各个领域。网络技术的成熟使得网络连接更加容易,人们在享受网络带来便利的同时,网络的安全也日益受到威胁。安全性是互联网技术中很关键的也是很容易被忽略的问题。曾经,许多的组织因为在使用网络的过程中未曾意识到网络安全性的问题,直到受到了资料安全的威胁,才开始重视和采取相应的措施。可以举例我们身边的例子,如网上银行。用户可能没有意识到网络存在木马程序的现象,未经检查软件的安全性就放心使用,其结果自然是损失惨重了。故此,在网络广泛使用的今天,我们更应该了解网络安全,做好防范措施,做好网络信息的保密性、完整性和可用性。
关键词:网络;安全;防范
引言
现今这个高速信息化的时代里,网络作为计算机技术发
展到一定阶段的必然产物,在生产生活中越来越发挥出主导和支配性作用。网络的开放性和共享性在方便人们交换信息的同时,多节点的结构使网络也越来越容易受到攻击。因此,网络和信息安全技术也越来越受到人们的重视。
如何才能解决网络安全问题,避免网络环境遭到攻击,使网络得到良性发展,我们就要了解目前网络安全可能存在的各种安全风险、网络安全防范的定义和范围以及在网络环境下如何应对这些不可控的风险。
1网络安全的含义及特征
1.1 含义网络安全是指:为保护网络免受侵害而采取的措施的总和。当正确的采用网络安全措施时,能使网络得到保护,正常运行。
网络安全的内容远不只是防范黑客和病毒,它包括着广泛的规则和惯例。网络的安全内容由数据的安全性和通信的安全性内容组成。数据的安全性具体内容包括阻止对数据的非授权的访问、转移、修改和破坏。通信的安全性要求在通信中采用保密安全性、传输安全性、辐射安全性等措施,并且要求对通信安全性信息采用物理安全性措施。
1.2 特征网络安全根据其本质的界定,应具有以下基本特征:①机密性:是指信息不泄露给非授权的个人、实体和过程,或供其使用的特性。在网络系统的每一个层次都存在着不同的机密性,因此也需要有相应的网络安全防范措施。在物理层,要保护系统实体的信息外露,在运行层面,保证能够为授权使用者正常的使用,并对非授权的人禁止使用,并有防范黑客,病毒等的恶行攻击能力。②完整性:是指信息未经授权不能被修改、不被破坏、不被插入、不延迟、不乱序和不丢失的特性。③可用性:是指授权的用户能够正常的按照顺序使用的特征,也就是能够保证授权使用者在需要的时候可以访问并查询资料。在物理层,要提高系统在恶劣环境下的工作能力。在运行层面,要保证系统时刻能为授权人提供服务,保证系统的可用性,使得发布者无法否认所发布的信息内容。接受者无法否认所接收的信息内容,对数据抵赖采取数字签名。
2网络安全现状分析
网络目前的发展已经与当初设计网络的初衷大相径庭,安全问题已经摆在了非常重要的位置上,安全问题如果不能解决,会严重地影响到网络的应用。网络信息具有很多不利于网络安全的特性,例如网络的互联性,共享性,开放性等,现在越来越多的恶性攻击事件的发生说明目前网络安全形势严峻,不法分子的手段越来越先进,系统的安全漏洞往往给他们可趁之机,因此网络安全的防范措施要能够应付不同的威胁,保障网络信息的保密性、完整
性和可用性。目前我国的网络系统和协议还存在很多问题,还不够健全不够完善不够安全。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。3网络安全解决方案
要解决网络安全,首先要明确实现目标:①身份真实性:对通信实体身份的真实性进行识别。②信息机密性:保证机密信息不会泄露给非授权的人或实体。③信息完整性:保证数据的一致性,防止非授权用户或实体对数据进行任何破坏。④服务可用性:防止合法拥护对信息和资源的使用被不当的拒绝。⑤不可否认性:建立有效的责任机智,防止实体否认其行为。⑥系统可控性:能够控制使用资源的人或实体的使用方式。⑦系统易用性:在满足安全要求的条件下,系统应该操作简单、维护方便。⑧可审查性:对出现问题的网络安全问题提供调查的依据和手段。
4网络安全是一项动态、整体的系统工程。
网络安全有安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保信息网络的安全性。从实际操作的角度出发网络安全应关注以下技术:
①防病毒技术。病毒因网络而猖獗,对计算机系统安全威胁也最大,做好防护至关重要。应采取全方位的企业防毒产品,实施层层设防、集中控制、以防为主、防杀结合的策略。②防火墙技术。通常是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合(包括硬件和软件)。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。③入侵检测技术。入侵检测帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。它在不影响网络性能的情况下对网络进行监控,从而提供对内部攻击、外部攻击和误操作的实时保护。具体的任务是监视、分析用户及系统活动;系统构造和弱点审计;识别反映已进攻的活动规模并报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。④安全扫描技术。这是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统三者相互配合,对网络安全的提高非常有效。通过对系统以及网络的扫描,能够对自身系统和网络环境有一个整体的评价,并得出网络安全风险级别,还能够及时的发现系统内的安全漏洞,并自动修补。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,做到防患于未然。⑤网络安全紧急响应体系。网络安全作为一项动态工程,意味着它的安全程度会随着时间的变化而发生变化。随着时间和网络环境的变化或技术的发展而不断调整自身的安全策略,并及时组建网络安全紧急响应体系,专人负责,防范安全突发事件。⑥安全加密技术。加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。⑦网络主机的操作系统安全和物理安全措施。防火墙作为网络的第一道防线并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全
作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生,如果有入侵发生,则启动应急处理措施,并产生警告信息。而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。
5结语
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。随着计算机技术和网络技术已深入到社会各个领域,人类社会各种活动对计算机网络的依赖程度已经越来越大。增强社会安全意识教育,普及计算机网络安全教育,提高计算机网络安全技术水平,改善其安全现状,成为当务之急。参考文献:
[1]黄怡强等.浅谈软件开发需求分析阶段的主要任务.中山大学学报论丛,2002(01).[2]胡道元.计算机局域网[M].北京:清华大学出版社,2001.[3]朱理森,张守连.计算机网络应用技术[M].北京:专利文献出版社,2001.[4]张世永.网络安全原理与应用[M].出版社.
[5]李明之.网络安全与数据完整性指南[M].机械出版社.
第三篇:计算机网络安全与防护
《计算机网络安全与防护》
计算机网络安全与防护
作者:某某君 日期:2010年6月
摘要:由于网络的开放性等特征而使其容易遭受黑客攻击、病毒侵犯,针对网络安全面临的问题,总结提出一些解决的对策。
关 键 词:网络安全;黑客;病毒;防火墙;访问权限
计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络易受黑客、恶意软件和其它不轨的攻击,例如,现在的病毒以破坏正常的网络通讯、偷窃数据为目的的越来越多,它们和木马相配合,可以控制被感染的工作站,并将数据自动传给发送病毒者,或者破坏工作站软、硬件,其危害相当恶劣,因此加强计算机网络的安全建设已刻不容缓,只有足够强的安全措施,才能确保网络系统的安全性,网络信息的保密性、完整性和可用性。
1网络安全面临的主要问题
计算机网络所面临的威胁大体可分为两类:一是对窃取或破坏网络中信息资源;二是对网络中计算机系统的攻击。影响计算机网络的因素很多,归纳起来,针对网络安全的威胁主要来自于如下四个方面:
1.1网络黑客:指的是熟悉特定的电脑操作系统,并且具有较强的技术能力,恶意非法进入他人计算机系统,黑客利用系统中的安全漏洞非法进入他人计算机系统,可以利用个人技术查询或恶意破坏重要数据、修改系统文件导致计算机系统瘫痪,黑客的攻击程序危害性非常大,从某种意义上讲,黑客对计算机网络安全的危害甚至比一般的电脑病毒更为严重。
1.2配置不当:安全配置不当造成了安全漏洞,例如,对网络服务器的访问权限设置不当,非法用户对网络服务器信息进行非法调用和窃取。对防火墙软件的配置不合理,例如只是对外设置防火墙保护,那么对内几乎不起什么作用,然而不幸的是,一般情况下有70%的攻击是来自局域网的内部用户,所以怎样防止来自内部的攻击是当前局域网建设中的一个非常重要的方面。
1.3计算机病毒:目前网络安全的头号大敌是计算机病毒,它是编制或者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性几大特点,病毒的种类也不断变化,破坏范围也有软件
扩大到硬件。新型病毒正向着更具破坏性、更加隐蔽、传染率更高、传播速度更快、适应平台更广的方向发展。
1.4安全意识不强:用户口令设置过于简单,或用户的访问权限设置不当,或将管理员的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。将一些处理过的机密文件随意存放在工作站的共享文件夹内,或在硬盘上留有备份,这就有可能使得某些重要文件在局域网上随意地流传,为网络系统留下了安全隐患。主服务器上的数据库存放着所有重要数据,不能及时进行数据备份,如果这个数据库遭到破坏,将会遭到无法挽回的损失。
2网络安全性的解决方法
2.1有效防护黑客攻击:WEB、FTP、DNS这些服务器较容易引起黑客的注意,并遭受攻击。从服务器自身安全来讲,只开放其基本的服务端口,关闭所有无关的服务端口。如DNS服务器只开放TCP/UDP42端口,WEB服务器只开放TCP80端口。FTP服务器只开放TCP21端口;在每一台服务器上都安装系统监控软件和反黑客软件,提供安全防护作用并识别恶意攻击一旦发现攻击,会通过中断用户进程和挂起用户帐号来阻止非法攻击;有效利用服务器自动升级功能定期对服务器进行安全漏洞扫描,管理员对及时网络系统进行打补丁;对于关键的服务器,如计费服务器、中心数据库服务器等,可用专门的防火墙保护,或放在受保护的网管网段内。
为了从物理上保证网络的安全性,特别是防止外部黑客入侵,可以将内部网络中所分配的IP地址与电脑网卡上的MAC地址绑定起来,使网络安全系统在侦别内部信息节点时具有物理上的唯一性。
2.2制定有效配置方案:应通过合理正确的授权来限制用户的权限,这是在办公用户中特别容易被疏忽的,如局域网中的共享授权,经常会被用户设置成对任何人开放且完全控制,这非常不安全也是很危险的。正确的方法是针对不同的用户设置相应的只读、可读写、可完全控制等权限,只有指定用户才会有相应权限,既保护了数据,又建立了合理的共享。
防火墙配置方案如下:将网络划分为三个部分,Internet(外网)、DMZ区(非军事区)、内网。Internet(外网)和DMA区通过外部路由器隔离;DMZ区和内部网络通过内部路由器隔离。代理服务器、E-mail服务器、各种服务器(包括Web服务器、Ftp服务器等)、以及其它需要进行访问控制的系统都放在DMZ中。外部网络非法入侵者要攻破此防火墙系统侦听到内部网上的数据,必须突破外部路由器和内部路由器才能侵袭内部网络,这样大大提高了内部网络的安全级别。配置防火墙的流量控制相关参数,实现不同时段、不同子网的不同带宽流量设置,有效防止内部用户在网络使用高峰时期大量占用带宽而导致网络瘫痪。
为了保证网络内部安全还应该利用Vlan技术将内部网络分成几个子网,网络分段通常被认为是控制网络广播风暴的一种手段,但其实也是保护网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听,网络分段用来实现对局域网的安全控制,也防止了内部网用户对网络服务器的攻击。
2.3建立病毒防护体系:对于一个网络系统而言,绝不能简单的使用单机版的病毒防治软件,必须有针对性地选择性能优秀的专业级网络杀毒软件,以建立实时的、全网段的病毒防护体系,是网络系统免遭病毒侵扰的重要保证,用户可以根据本网络的拓扑结构来选择合适的产品,及时升级杀毒软件的病毒库,并在相关的病毒防治网站上及时下载特定的防杀病毒工具查杀顽固性病毒,这样才能有较好病毒防范能力。
2.4加强网络安全意识:加强网络中用户名及密码的安全:必须为系统建立用户名和相应的密码,绝不能使用默认用户或不加密码;密码的位数不要短于6位,最好使用大、小写字母、标点和数字的混合集合,并定期更改密码;不要所有的地方都用一个密码,不要把自己的密码写在别人可以看到的地方,最好是强记在脑子里,不要在输入密码的时候让别人看到,更不能把自己的密码告诉别人;重要岗位人员调离时,应进行注销,并更换系统的用户名和密码,移交全部技术资料。对重要数据信息进行必要的加密和认证技术,以保证万一数据信息泄漏也能防止信息内容泄露。
对于网络中的硬件设备、软件、数据等都有冗余备份,并具有在较短时间内恢复系统运行的能力。对于存放重要数据库的服务器,应选用性能稳定的专用服务器,并且配备UPS等相关的硬件应急保障设备,硬盘最好作Raid备份,并定时对数据作光盘备份。
总之,要想建立一个高效、稳定、安全的计算机网络系统,不能仅仅依靠防火墙、杀毒软件等单个的系统,需要仔细考虑系统的安全需求,将系统配置、认证技术、加密技术等各个方面工作结合在一起才能够实现。当然,绝对安全可靠的网络系统是不存在的。我们采用以上措施来保护网络安全,只不过是为了让我们的网络数据在面临威胁的时候能将所遭受到的损失降到最低。
参考文献:
[1]孙学军,喻梅.《计算机网络》.电子工业出版社,2003
[2]郑再欣.“浅谈计算机网络安全及防范”.《广东公安科技》,2004
[3]徐翼超.“计算机网络安全问题初探”.《交通企业管理》,2004
第四篇:《网络安全与防护》说课稿
《网络安全与防护》说课稿
一、计算机网络技术专业岗位-能力-课程结构图
计算机网络技术专业的培养目标:培养拥护党的基本路线,德、智、体、美等方面全面发展,具有良好的科学素养,掌握计算机网络基本技能,具备网络工程组织与施工技能,具备网络管理与维护技能,成为具有计算机网络组网与设备调试、网络系统集成与维护以及网页设计与网站维护能力,适应岗位能力要求的高素质技能型人才。
对应的岗位:网络设计与施工技术员、网络管理与维护技术员。能力目标:网络工程能力、网络基础能力、网络管理能力。专业课程:《网络安全与防护》、《网络系统管理》、《综合布线与工程》、《网络设备安装与配置》、《网络工程制图(Visio或AutoCAD)》、《网页设计》、《网络技术通识》、《计算机组装与维修》
二、课程在人才培养方案中的地位、作用、性质
1、专业建设是为人才培养目标服务,课程建设是为专业课程体系服务。网络专业从“网络工程能力”、“网络基础能力”、“网络管理能力”三个不同角度分别设置相应的课程,如果用一棵树形容网络专业的课程,《网络安全与防护》课程相当于树干,起到承上启下的作用,无论“建网”中的设备管理,还是“用网”中的网络维护,都需要“网络管理能力”中的《网络安全与防护》课程的技能和知识作支撑。
2、《网络安全与防护》也对专业学习领域中的其它课程有有更好的促进作用,把《网络安全与防护》应用这些后续课程中,“建安全的网”为用户提供“安全的网络应用”,所以《网络安全与防护》课程在网络技术专业整体课程中也是起着“核心”的作用,是专业学习领域中的必修课。
3、《网络安全与防护》是计算机网络技术专业人才培养方案中专业学习领域中的必修课,属于B类课程。
三、课程教学目标(1)能力目标
能够解决不同的网络应用环境中遇到的信息安全问题,成为具备基本安全知识和技能的应用型人才,能够正确配置个人主机安全,能够规划不同应用网络环境中的安全方案,并能运用包括产品安全设置、系统安全策略制定、安全工具使用在内的安全防护技术。
(2)知识目标
掌握网络安全技术的概念与相关知识,了解网络安全相关标准,对于各类网络环境所使用的各类技术有正确的认识。
(3)态度目标
遵守国家关于信息安全的相关法律法规,不利用所掌握的技术进行入侵攻击方面的活动,有安全需求沟通的能力。
(4)总体目标
培养掌握较全面的网络安全防护技能,同时具备较高的安全素养,能够从事企事业单位的网络安全与管理的合格从业人员。
四、课程内容
本课程以个人主机、服务器、局域网三个学习情景为背景,以任务驱动:威胁分析—策略—防护措施为主线,主要讲解了以下十五个典型任务:网络攻击与防范;账号安全设置;文件系统安全设置;删除默认共享、删除IPC$空连接;关闭危险端口和不用服务;软件防火墙的使用;防病毒软件的安装、设置和使用;入侵检测系统的安装与使用;加密软件的安装与使用;组策略配置;通信安全设置;应用服务的安全设置;网络监听与防护;防火墙配置等。
五、教学方法
根据每个任务的内容特点,结合计算机网络技术专业学生的特点和工学结合的要求,以真实案例进行引导,综合运用基于工作过程的任务驱动法、案例分析法、分组讨论法、角色扮演法等教学方法开展教学。
1、案例分析法:以真实发生的安全事件为背景,引导学生分析事件中存在的安全风险及造成的影响,制定安全防护计划,选择安全技术。
2、师生互动讨论法、分组实验法:对于难度较大的任务,为了降低教学难度,先由师生互动对任务进行讨论,以引导学生正确认识安全风险及相关的安全防护技术,之后采用分组实施法开展协作学习,学生强弱搭配,几个人一组,一人操作,其他人在旁边给出参考意见,完成后交换角色,最后教师总结归纳。以此提高学生的学习积极性和参与意识,降低学习的难度,培养学生的合作精神和团队意识。
3、角色扮演法:网络安全教学任务的实施多是需要不同的角色,多方共同参与的,以体验防护技术的实施效果,比如使用sniffer抓包。
4、虚拟训练:如利用实训室设备模拟一个网络环境。
5、现场演示:如部分安全设置可在多媒体教室完成。
6、以赛促学:如分组比赛、知识竞赛等。
六、教学手段
1、多媒体教学
2、FLASH动画演示
3、网络实训室实训
4、网络资源
5、顶岗实习
6、课外阅读专业杂志
七、课程考核
本课程实施综合考评,不仅理论与技能结合,并且注重学习态度和最终成绩的平衡,注重过程考核,以全面综合地评定学生的能力。
考核办法:
1、过程考核:能力训练任务的学习过程中,对学生进行任务的安排,根据每个任务的完成情况、出勤情况与表现,作为学生的过程考核成绩,本部分占总成绩的60%。
2、期末考试:主要考察学生对理论知的掌握程度,本部分成绩占总成绩的40%。
八、教学条件
校内实训室:网络实训室现有36台学生用电脑、1台教师机、1台天融信防火墙、1台阿姆瑞特网关、1台路由器、多台交换机等网络设备,这些设备通过双绞线连接形成一个小型局域网,并且与校园网连接,可访问Internet网,完全可满足本门课程中涉及的实训项目的要求。
九、怎么教
1、任务分析
2、技能目标
3、知识链接
4、操作步骤
5、课堂讨论
6、拓展
十、“教学做一体化”案例
十一、教学团队
十二、教材加工的特点
主要以《网络安全基础与实训》为主,参考了《网络安全技术与实训》、《网络安全与管理》、《网络安全》等教材,按照项目导向、任务驱动的教学方法,围绕三个教学情境:个人主机、服务器、局域网,选择了15个任务,按照15个任务的内容要求,结合教学做一体化、重在培养能力对教材内进行了加工。
加工后的特点:
1、符合教改要求---基于工作过程的教学模式
2、摒弃了填鸭式的理论教学模式,着重培养学生的能力---实现“能力本位”
3、学习的内容是工作内容---工学结合
4、以任务为载体实现“教学做”一体化
5、学即能用,激发了学生学习兴趣
6、实训以实用为目的,理论以够用为标准
第五篇:计算机网络安全与防护
计算机网络安全与防护
在当今网络化的世界中,网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易受到攻击,计算机信息和资源也很容易受到黑客的攻击,甚至是后果十分严重的攻击,诸如数据被人窃取,服务器不能提供服务等等。因此,网络和信息安全技术也越来越受到人们的重视,由此推动了防火墙、入侵检测、虚拟专用网、访问控制、面向对象系统的安全等各种网络、信息安全技术的蓬勃发展。防火墙技术作为网络安全的重要组成部分,格外受到关注。本文就网络安
全、防火墙的种类以及防火墙技术在现实中的应用等进行简要的介绍。
一、计算机网络和计算机网络安全的概念
计算机网络是计算机科学发展到一定阶段的产物,是由计算机系统和终端设备,通过线路连接形成的,实现了用户远程通信和资源的共享,而且有较高的可靠性和扩展性。计算机网络化是信息社会的主要标志之一。
互联网是通过TCP/IP协议将各个不同地区及不同结构的计算机连接在一起组成的网络形式。随着互联网用户的不断发展促进了信息交流,但正如引言中所指出的,网络的发展也带来安全方面的问题,例如网络中使用的传输控制协议(TCP)、互联网协议、IP、路由器等都会出现安全方面的问题,需要采取鉴别、数据加密、数字签名、防火墙等必需的安全机制和防护措施。计算机的安全是指计算机信息系统和信息资源不受自然和人为有害因素的威胁和危害。计算机安全的范围包括实体安全、运行安全、数据安全、软件安全和通信安全等。实体安全主要是指计算机硬件设备和通信线路的安全,其威胁来自自然和人为危害等因素。信息安全包括数据安全和软件安全,其威胁主要来自信息被破坏和信息被泄漏。当前信息安全方面存在的主要问题是计算机病毒、计算机黑客、传输线路和设备的电辐射等。
二、计算机网络的安全漏洞
网络的开放性和共享性在方便了人们使用的同时,也使得网络很容易受到攻击,而且受到攻击后的伤害是严重的,诸如数据被人窃取,服务器不能正常提供服务等等。其所以会受到攻击,是因为存在着如下漏洞。
(1)口令
计算机网络的口令系统非常脆弱,常常会被破译。破译者常常通过对信道的监测来截取口令或将加密的口令解密,获得对系统的访问权。特别是由于与内部局域网相连的互联网需要进行两类认证,一是需要用户进行TCP/IP注册认证,由用户输入IP地址和口令;二是对业务往来和电子邮件信息需要进行来源认证。这两类认证常常会受到攻击。例如当用户通过TELNET或FTP与远程主机联系时,由于在互联网上传输的口令没有加密,因而带有口令和用户名的IP包就有可能被攻击者截获,用此口令和用户名在系统上进行注册,并根据被窃取口令所具有的权限获得对系统相应的访问控制权,进而窃取用户的机密信息。
(2)协议
互联网的某些协议,如TCP/IP或UDP协议存在着许多安全方面的漏洞,例如只能对主机地址进行认证,而不能对用户进行认证就是一个漏洞。通过这个漏洞,只授权给某个主机,而不是授权给特定的用户,这样攻击者就可利用被授权的主机与服务器通信,对系统进行攻击。其在通信前先设置好一台被信任的主机,与某主机有相同的名字和IP地址,然后建立联系,使服务器认为它是真正的用户,而从容地进行信息窃取活动。因此,为了使信息在网络传输中不被窃取、替换、修改等,要求采取各种硬件及软件措施,如网关、传输协议等来保护FTP或E-mail文件。
再如,由于IP技术过多考虑的是性能,而对安全性就消弱了许多,使得黑客捕获目标IP地址不是一件复杂的事情,其实这是很危险的。黑客可利用IP和客户软件的漏洞使远程用户瞬间死机。为了保证互联网上信息往来的安全,需要采用数字签名的措施来保证数据发送和来源的可靠。
(3)操作系统和应用软件
网络操作系统和应用软件也存在着安全漏洞,特别是在传统的UNIX操作系统中发现了不少的漏洞,例如对可执行文件的访问控制不严就成为许多黑客攻击成功的原因之一。另外,许多应用软件也都有安全漏洞,容易被黑客侵入,浏览器中的超级链接也很容易被攻击者利用而进入系统。为此,需要采取安全级别较高的操作系统并增加必要的软、硬件防护措施。
(4)互联网
互联网既庞大又复杂,系统边界难以确定,用户难以监视,系统受到的威胁来自各方,许多访问控制措施配置起来十分困难也不易验证其正确性。为此,为确保安全,内部网与互联网的连接必须设立网关,以拦截和检查每一条从互联网来或去的信息,防止黑客、病毒之类的攻击。此外,网关还需根据IP地址和端口数据对每一包进行滤波,使互联网的网关成为防火墙的一部分。
三、防火墙技术简介
由于计算机网络存在着以上漏洞,所以受到了种类繁多的攻击,归纳起来主要有扫描类攻击、缓冲区溢出攻击、木马攻击、DoS攻击、DdoS攻击和碎片攻击等等。为了防止计算机网络受到攻击,采取的有效手段是防火墙技术。防火墙是可在内部网和互联网之间,或者内部网的各部分之间实施安全防护的系统,通过防火墙可以在内部、外部两个网络之间建立起安全的控制点,来实施对进、出内部网络的服务和访问信息的审计和控制,以允许、拒绝或重新定向经过防火墙的数据流的方式,防止不希望、未授权的数据流进出被保护的内部网络。因此,防火墙是实现网络安全策略的重要组成部分。
(1)防火墙要解决的安全问题
防火墙要解决的安全问题分为两大类:
1、被保护系统的安全问题
在访问控制安全方面,防火墙应能保护内部网络的资源不被非授权使用。
在通信安全方面,防火墙应能提供数据保密性、完整性的认证,以及各种通信端不可否认的服务。
2、自身的安全问题
在访问控制安全方面,防火墙应能保护防火墙自身与安全有关的数据不被非授权使用。在通信安全方面,在对防火墙进行管理时,包括远程管理,应能够提供数据保密性、完整性的认证,以及各种通信端不可否认的服务。
(2)防火墙的关键技术
目前,防火墙有两个关键技术,一是包过滤技术,二是代理服务技术。
1、包过滤技术
包过滤技术主要是基于路由的技术,即依据静态或动态的过滤逻辑,在对数据包进行转发前根据数据包的目的地址、源地址及端口号对数据包进行过滤。包过滤不能对数据包中的用户信息和文件信息进行识别,只能对整个网络提供保护。一般说来,包过滤必须使用两块网卡,即一块网卡连到公网,一块网卡连到内网,以实现对网上通信进行实时和双向的控制。
包过滤技术具有运行速度快和基本不依赖于应用的优点,但包过滤只能依据现有数据包过滤的安全规则进行操作,而无法对用户在某些协议上进行各种不同要求服务的内容分别处理,即只是机械地允许或拒绝某种类型的服务,而不能对服务中的某个具体操作进行控制。因此,对于有些来自不安全的服务器的服务,仅依靠包过滤就不能起到保护内部网的作用了。
2、代理服务技术
代理服务又称为应用级防火墙、代理防火墙或应用网关,一般针对某一特定的应用来使用特定的代理模块。代理服务由用户端的代理客户和防火墙端的代理服务器两部分组成,其不仅能理解数据包头的信息,还能理解应用信息本身的内容。当一个远程用户连接到某个运行代理服务的网络时,防火墙端的代理服务器即进行连接,IP报文即不再向前转发而进入内网。
代理服务通常被认为是最安全的防火墙技术,因为代理服务有能力支持可靠的用户认证并提供详细的注册信息。
代理服务的代理工作在客户机和服务器之间,具有完全控制会话和提供详细日志、安全审计的功能,而且代理服务器的配置可以隐藏内网的IP地址,保护内部主机免受外部的攻击。此外,代理服务还可以过滤协议,如过滤FTP连接,拒绝使用PUT命令等,以保证用户不将文件写到匿名的服务器上去。
代理服务在转发网络数据包的方式与包过滤防火墙也不同,包过滤防火墙是在网络层转发网络数据包,而代理服务则在应用层转发网络访问。
以上介绍了两种防火墙技术。由于此项技术在网络安全中具有不可替代的作用,因而在最近十多年里得到了较大的发展,已有四类防火墙在流行,即包过滤防火墙、代理防火墙、状态检测防火墙和第四代防火墙。