第一篇:云计算下网络安全技术实现和路径研究论文
云计算网络安全问题分析
1.1 数据通信无法得到保障
对于计算机网络技术来说,其在使用时的一个主要目的就是为了实现数据的交换和传递,而在云计算环境下,影响数据传输安全性的因素主要有以下几点:首先是服务器受到攻击,在非常短的时间内将大量的数据传输到服务器中,导致通信出现堵塞现象,这种情况使得用户无法进行正常的信息传输。另外则是骇客入侵,对企业的计算机或者服务器进行数据的恶意操作,导致用户的数据出现丢失等问题。
1.2 网络系统较为薄弱
网络系统在使用时,一些个别的使用功能往往存在着一些漏洞问题,像电子邮件中的漏洞问题等,这些漏洞往往是骇客经常攻击的地方。另外则是计算机系统自身较为薄弱,在受到攻击之后,用户无法对自身的计算机进行有效的使用,导致其对信息的接收和处理受到限制,最后则是数据库安全性较为薄弱,对于这一问题,其在数据库的完整性和审计等方面都存在。
1.3 网络环境较为复杂
对于云计算的应用,其使得网络中的用户容量更大,这使得计算机的推广更加高效。但由于云计算在使用时同网络环境之间存在着较大的差距,而用户在获取对应的资料时又是采用的网络寻找资源,这使得云计算完全暴露在网络环境中,但由于云计算自身的数据库安全性缺陷使得其无法对自身的数据安全进行保障。云计算下网络安全技术实现路径分析
2.1 设置防火墙技术
对于防火墙技术来说,其能够根据用户的需求对传输的信息进行分辨,从而将对用户有害的信息进行自动过滤,保证网络传输过程的数据安全性。对于防火墙技术,其在使用时主要有下面几种功能:首先是对入侵技术进行防御,对于骇客入侵来说,其首先需要采用对应的入侵技术将入侵软件或者数据传输到用户的计算机中,而采用了防火墙技术之后,其能够对传输数据进行智能分辨,当发现传输数据会对用户的计算机安全造成威胁时,其能够对其进行自动阻碍操作。然后是对病毒的预防,病毒对计算机的损害主要是通过对计算机用户的IP地址进行恶意修改,从而导致用户无法正常进入网络环境中进行信息的查询,而采用防火墙技术之后,其能够对用户的IP地址进行保护,当发现能够对用户的IP地址进行篡改的病毒时,其能够对其进行阻挡等。
2.2 系统加密技术
对于系统加密技术来说,其包含两种,一种是公钥加密,另一种是私钥加密,通过加密技术能够将用户的数据代码进行有效处理,使其无法被骇客或者其他程序打开,这样使得用户的数据无法被盗用。此外,还可以通过过滤器对计算机中的阻断程序等进行清除,保证计算机的正常运行,但在选择过滤器时需要保证过滤器的性能,且供应商能够提供对应的云服务,这样才能保证用户在不使用时保证计算机的安全性。图1是公钥加密的过程图。
2.3 反病毒技术应用
随着计算机技术的快速发展,各种病毒也在逐渐增多,其病毒的类型越来越多,这对网络安全带来了较大的威胁,为了能够更好的保证用户的计算机安全使用,反病毒技术由此而生。对于反病毒技术,其主要有动态和静态两种不同的技术模式,对于动态技术,其能够对计算的病毒预防功能进行加强,防止计算机使用过程中被病毒侵袭。对于动态技术,其使用成本较低,且使用较为方便,在病毒入侵之后,其能够快速对其进行预警,方便用户保证自身计算机的安全性。而对于静态技术,其在使用时往往不是根据网络的情况确定的,而是一种固定的病毒预防技术,在使用过程中无法实现实时病毒预防和预警等作用,因此,该技术正在逐渐推出反病毒技术领域。
2.4 防护技术
对于计算机网络安全来说,有效的防护技术是保证计算机安全运行的重要保障,因此,选择有效的防护技术能够大大提高用户的网络安全性。比如在选择云计算软件时,由于计算机技术的发展速度较快,因此需要对云计算技术进行实时更新,不断对自身的漏洞进行弥补,通过这种方法能够使用户的数据得到有效的保护。另外,在进行用户数据创建时,可以通过隔离机制来避免虚拟机的攻击,防止计算机受到骇客等的攻击。对于云计算来说,其安全性可以通过检测软件来对其进行日常的监控,检测软件位于客户端位置,其能够对木马和病毒等进行自动的分离,防止其对计算机的安全性造成影响。总结
伴随着计算机网络技术的快速发展,云计算技术的应用将越来越广泛,但由于云计算技术发展时间较短,其中还存在着很多的问题,为此,需要通过防火墙等技术来对其安全性进行保障,有关部门需要尽快加强对云计算网络安全技术的研究。
第二篇:云计算技术下企业网络安全管理研究论文
【摘要】
云计算借助于虚拟化技术,通过网络平台提供软件、平台等服务,在下一代网络技术中,云计算技术将成为核心技术,它提供可靠、安全的信息存储,具有强大的数据处理与快捷的互联网服务能力。本文则重要探讨云计算下的企业网路安全管理系统的构建,自在提高企业管理水平,促进企业快速发展。
【关键词】
云计算;企业网络;安全管理;构建
近几年来,伴随着科学技术及其网络信息技术的快速发展,云计算在各个领域中均得到实施。信息网络技术已为人们的生产及生活带来较大便利,同时也带来了信息安全问题。企业网络安全问题日益凸显,云计算作为一种新型的核心技术,在各行各业中均得到广泛应用。
1云计算概述
云计算是2007年出现的新名词,只带现在还没有一个确切的定义。总的来说,云计算指的是把分布式计算,虚拟化等技术结合起来的一种计算方式,基于互联网为媒介,向用户提供各种技术说明、数据说明及应用,以方便用户使用起来更方便快捷。对于云计算而言,它是分布式处理、网络计算的发展,对分布式计算机中的数据、资源进行整合,实现协同工作。用户连上网络,运用云计算技术使标准化的讯息和数据更加的有效、精确、快速及多量化。云计算主要由计算与编程技术、数据存储技术、虚拟机技术、数据处理技术等技术构成。云计算技术不同于其他技术,它具有自身独特的特征,其中包括:超大规模、高真实性、高安全性、扩张性、按需求提供等。云计算技术具有独特的特征,即使用成本低,适应范围广泛、高效的运行速度,被各大企业广泛运用。云计算通过电脑进行数据发布,至电脑的算术功能更加强大,使那些繁琐的、量大的计算得到了提高。并且,启用云计算模式,使数据的储存更加的统一化,有利于数据在监管测试中更加的安全。在云计算模式的数据中心中,其对数据的统一化、资源配置的有效化、系统的优化、安全的监测环境和铺排软件,有效的提高了数据的完整性。并且,在云计算平台加入硬件、软件及技术资源,从而促进集中管理的实行,同时,增加动态的虚构化层次,促进了资源、硬软件的全面发展。云计算技术具有可持续性、虚拟化的特点,可持续性的特点,使系统的总体消耗费用在一定的程度上降低。云计算的种类可分为公共云、社区云、混合云及私有云。其中公共云主要用于公共服务的云平台,进而为公众提证供云存储及云计算的服务;社区云则是在某一区域内使用的云服务,进而为多家关联机构所提供的云服务;混合云是两种或两种以上的云所组成的;私有云是指企业内部所使用的云服务,适宜专网向结构采用。
2云计算在企业网络安全管理系统中的应用
随着科技的飞速发展和网络的普及,企业管理所形成的运用系统平台都向着规模化、多效用化、高效能、高机能的方向发展。以保障企业网络管理系统安全的正常运行、对其进行定时调度和维护,完善企业内部网络的建设发展,云计算技术在企业网络安全管理中的应用必不可少。基于云计算技术的应用将整合数据信息资源,可以确保企业安全管理系统数据的安全。
2.1云计算系统实现
作为多层服务的集合体系,电力云主要由物理存储层、基础管理层、高级访问层、应用接口层四个主要层次构成。云计算系统是在企业网络安全管理中,网络存储与设备是以物理存储层为基础的,其所分布的地理位置不同导致其云物理设备也不同,这些差异的地理位置及云物理设备之间的连接主要是通过内部网来实现的。基础管理层是采用集群式和分布式系统,促使云中的储存设备进行协同工作,在基础管理层中,还包括机密、数据备份内容。高级访问层主要包括管理系统的基础与高级应用,通过软件平台来实现安全管理软件快速有效的运行。云计算系统是在企业网络安全管理中,应用接口层是其最最活跃的部分,其系统中的运行管理机构信息及数据获取必需通过应用接口层完成。
2.2云计算的信息整合云计算的信息整合很多都是通过云计算技术来实现的,如企业网络安全管理系统中的信息同享,利用公有信息模型,标准组件接口,让多个企业网络数据库中的数据进行交流、同享。同时,可利用自动分析与拆分技术,对系统中繁琐的资源进行统一,使其任务变成较小任务。经过企业网络安全管理系统中某个信息点将请求发云体系实现资源的统一,在请求接到后,将数据请求要求发送给企业网络安全管理中的公用信息平台,依照请求,对系统中的资源进行储蓄整理、推算。
2.3资源管理与调度
为了完成云计算技术在工作中的的有效使用,应该巩固对资源的处理、调度。其详细运行表现为:起初,为了保证企业网络安全管理系统的安定、稳固进行,应该对每一台使用云计算技术的计算机设施进行整合,对使用者权利、使用者因特网地址、用户终端级别进行整合。另外,描绘计算机资源近状,对Cache、MFLOPS等数据结构进行概述。最后,实现云内部任意终端的探问,运用云调度技能,有效处理云资源,完成对系统资源的灵验、科学整理,便于资源的询问、使用。企业网络安全管理系统与云计算的应用具有计算速度快、安全可靠性高、应用范围广的特点。为了使企业网络安全管理系统有效快速的运行,云计算技术还对技术标准合理的进行规范,利用数据模型,完成数据的平稳执行。
2.4云计算的关键技术
数据安全技术。在企业网络管理系统中采用云计算技术,数据的散落式储存保证了数据的安全问题、系统内的安全问题。在系统进行运行的过程中中,保障数据完好,应该对数据处理、用户约束、资源证实、权利管理等各技术的认真分析,保障应用数据的稳定性、整体性。因此,在系统运行过程中,云计算技术还要加强对数据的隐秘功能,从而保证数据的稳定性、整体性,可以通过数据加密技术进行维护。就像采用华为技术公司利用IaaS层资源管理软件,有用地解决了数据存在的安全问题。与此之外,数据的安全技术强化系统中的用户数据安全,保障用户数据的安全共享,保障了数据的交迭。动态任务调度技术。其于企业网络管理系统,其计算方式有暂态、静态等多样性,因为计算时间具有不稳定性因素,且计算之间是具有相互依靠关系,从而便增加了计算任务的调度的难度。因此,为了保证企业网络管理系统的高速运行,在系统的云计算中心,使用任务预分配与动态分配相配合,分布式文件与本地文件相配合的形式,从而提高资源的有效利用,促使数据运送、调整管理的时间损失降低了一定的程度。一体化数据管理技术。在系统的多种整理中,通过采用一体化数据管理技术与模型的方法来实现数据模型的统一化,以此减少不同模型转化的过程中所形成的数据丢失与失误,利用合并的计算数据准则。在当前的的数据模型中,大部分采取EICCIM国际标准,同时使用国网E格式标准数据替换,而关于计算输入数据而言,可使用BPA和PSASP兼并的方法。
3企业网络安全管理系统中云计算技术的应用
云计算在企业网络安全管理系统中的应用可分为三大层次,即:基础设施层、平台服务层及软件服务层。其中基础设施层是面向应用对象,平台服务层面向服务、软件服务层面向用户。在每一个层次中都能够根据功能需求加以细化。并且根据逻辑的顺序,在基础设施层上能够分为数据采集及其转化,并且根据硬件的不同,将其分为用户设备终端、存储设备及其服务器等。此外,在云计算的信息管理中,大多是通过虚拟化的技术来实现资源的形象化转变,并将数据传递到服务平台。同时根据设计及开发的相关流程,平台服务层可分为开发、测试及其运行。每一层都应根据相关设计来进行开发。如:在建立某企业的网络安全管理系统时,首先,应对该企业的业务类型进行全面调查分析,并给予分类,查看适合采用哪一种云计算分类。若企业的网络安全管理系统适宜采用私有云计算类型,则可采用私有云的管理系统。然后,企业应根据实际应用需求,需要配备足够的服务器设备等。再次,对企业内部IT资源、数据中心等加以整合,并选择较为合适的虚拟化方法,对存储设备及服务器给予虚拟化整合,将已虚拟化的集成管理器给予管理,并将其上传到云计算的平台之中。最后,在软件的服务层,应根据实际的应用对象及其需求进而用户终端提供不同的软件,并设置相应的操作系统。当企业采用云计算的技术后,应配置基础设施或功能软件等,最终向服务提供者提供费用,可有效降低计算成本。对于云计算的信息管理系统,其中影响较大的缺陷即所拥有的隐私保护力不够,且公享资源的较大则是服务提供者所拥有的任意数据,如何在确保资源共享的优点下,达到保护用户隐私的目的,是当前亟需解决的问题。
4结语
总而言之,云计算技术是当前流行的新技术,已在各行各业中得到广泛应用,并且取得了较好的成效。对于企业网络安全管理而言也不例外,同样可采用云计算技术,能够提高管理效率及质量。本文则将云计算技术应用于企业安全网络管理中,旨在提高信息安全管理水平,促进企业的可持续发展。
第三篇:云计算和大数据下在线教育研究
云计算和大数据环境下的在线教育研究
1.引言
当前云计算和大数据技术的出现,面对在线教育交互中产生的大量复杂数据,可以实现识别、分析、挖掘并组织隐含在学习者交互过程中的结构化、非结构化数据信息,开发交互过程数据的价值,发现其隐性诉求并预测学习支持服务趋势,并以其为导向改进和拓宽在线教育服务,达到在线教育服务与学习者需求的双向平衡。本文就是立足于对在线教育的交互瓶颈和需求分析,构建基于大数据和云计算支持的在线教育交互平台模型。重点研究交互平台功能实现,使在线的学习者和教师可以实现完美的在线交互活动,并且对交互的数据进行深入挖掘分析,解决目前在线教育所面临的弊端。
2.在线教育交互平台现状分析
在线教育交互分为个别化交互和社会性交互,前者是学习者和学习资料之问的交互,后者是学习者和教师或者学习者之问的交互,社会性交互是提高在线教育交互水平的关键因素。随着在线教育的交互信息资源增加,在线学习者和在线教师的需求不断发展和提高,在线教育出现了许多问题。
针对服务应用。目前在线教育的交互平台缺乏统一身份认证体系,需要进行身份重复验证,给用户造成不便同时给系统增加安全隐患;缺乏统一的应用展现,用户信息分散在各个应用中,且服务功能重复,堆砌浪费;使用方法、界面和质量不统一,给平台使用和维护管理造成不便。在线学习时间的碎片化趋势对学习者的终端设备要求很高,造成学习质量下降;缺乏跨终端的资源共享系统,影响学习效率和满意度,改变终端学习,增加数据丢失、病毒入侵等安全问题。
针对信息资源的存储和分析挖掘。随着在线学习者和在线教师的服务需求日益个性化和专业化,对于服务质量也越来越看重,在线教育交互平台必须根据在线学习者和在线教师的需求作出相应的策略改变,以适应服务需求的不断改变和提高。由于在线教育是基于互联网的学习方式,学生和学习资源、教师与学生、学生与学生之间的交流是通过网络全方位进行,所以需要通过对学习交流的分析挖掘出在线学习者和教师的需求。在线教育的信息资源总量日益增大,主要的数据资源包括结构化和非结构化信息,以及在线教育平台内部以异构化数据为主的相关信息,且每天以大量的非结构化数据和异构性数据资源为主。但是目前对于这些异构性数据和非结构化数据的记录、存储和统计技术,完全不能满足在线教育交互平台的数据需求。因此对平台产生的结构化、非结构化、异构性大量数据进行分析和深度挖掘潜在价值成为必然,为在线学习者和教师反馈快速、及时、高效、安全的信息分析结果。3.在线教育交互平台应用云计算和大数据
3.1 云计算和大数据与在线教育交互平台
云计算是通过互联网络庞大的计算处理能力,将待处理程序自动分拆成无数个较小的子程序,再交由多部服务器所组成的庞大系统经搜寻、计算和分析,最后将处理结果回传给用户。大数据技术是数据分析的前沿技术,需要从各种各样类型的数据中,快速获得有价值信息的能力,是需要新处理模式才能实现更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。云计算强调的是动态计算能力,大数据注重的是静态的计算对象。云计算弥补了目前大数据的存储和运行的最大问题,就是提供了运算平台,而大数据则运用分布式处理手段应用于这个平台之上,两者是相辅相成的关系。
云计算与大数据结合应用,前者强调计算能力,后者看重存储能力。大数据需要处理大量复杂数据的能力,包括数据获取、整理、转换、统计,即强大的计算能力,而云计算需要大量数据作为运算的基础,所以两者的结合是必然趋势。实际应用中,云计算的出现和兴起促进了大数据的广泛应用,而大数据和云计算的结合应用更是出现在许多领域,现已扩展到公共问题领域。但是目前还没有进入在线教育行业。
借助云计算的优势,在线教育交互平台上的用户无需考虑在线学习时终端设备的运算、存储和负载能力的问题,可以更好的实现教育资源共享和教育网络协同工作,大幅度提高教育资源的利用率和运行效率。云存储屏蔽了数据丢失、病毒入侵等问题,保障了数据安全和用户信息私密,是在线教育交互平台最安全可靠的数据存储中心。用户使用终端设备访问教育资源进行在线学习和交流,都会产生并积累大量结构化和非结构化数据,不仅体量大而且增长速度很快。其中非结构化数据已占数据总量的八成以上,但目前的数据分析处理算法和软件不能达到对非结构化数据的处理要求。大数据技术的应用却可以高速实时处理在线教育平台产生的复杂海量数据,为在线教育平台实时洞察学习者的变化、把握学习者的需求、提高教育质量提供支持。对在线教育平台上大量的不相关信息,进行深度复杂分析,为未来教育需求趋势提供预测分析,这是应用大数据的在线教育与传统在线教育本质的不同。
3.2 基于云计算和大数据的在线教育交互平台应用模型分析
根据上述分析,随着在线教育日益同质化,在线教育机构需要在保障教育资源丰富和高质量的同时,更好的分析在线学习者和教师的偏好,为平台的每个用户提供有针对性的个性化服务。下面将利用云计算和大数据的优势构建符合学习者和教师需求的高质量在线教育交互平台模型,如图1所示。
应用云计算和大数据技术的在线教育交互平台主要分为用户应用服务层、数据资源处理层、基础设施硬件层三部分,依次分析三部分功能实现。
3.2.1用户服务应用层
在线教育交互平台的用户主要为两类,即在线教师和在线学习者。针对不同的用户,访问的授权和界面不同,尽可能为用户提供个性化的精准服务,主要表现为属于用户自己的展现网页。服务应用内容主要分为四类,包括在线教学内容、教学管理、交流互动和学习管理,如图2所示。
服务应用层是资源对外交互的窗口,是用户使用资源的桥梁,与用户体验的便捷性有很大关系。因此应用服务层是根据用户需求,对信息资源请求重构和提供,实现信息资源的服务分类,用户享受个性化的服务资源。
平台对每个用户展现的内容是不相同的。针对教师,平台实时反馈在线学习者的情况和分析结果,尤其是对学习者的学习风格和偏好的分析,实时跟踪学生在课前、课中和课后的情况,完成课程反馈,对学生在平台上的行为、学习记录智能跟踪记录分析。针对学习者,构成学习、答疑、测评、互动四位一体的学习模式,运用丰富的学习资源,根据后台的数据挖掘。提供学习进度安排和个性化的学习方案。实现以学生为中心的在线教育方式。实现自主个性化学习、个性化即时笔记、针对性课程复习和测评,多方式在线交互的方式。
在线教育交互平台的用户看到的是良好的服务交互界面,无需知道后台数据资源整合过程,完全由平台的数据资源处理层完成,所以拥有更好的用户体验。平台是所有教学资源的集散地,整合资源方便统一管理和使用,同一份资源,只需保存一份,通过资源关联,可以在任意系统中快速调用。同时避免数据库急剧增长,极大地减轻网络负荷,减少用户和平台的工作时间,维持资源唯一性,资源发生更改时所有使用该资源的应用均自动更新。
3.2.2数据资源处理层
中问层是数据资源处理层,主要为三部分。第一部分是对数据进行标准化处理,第二部分是进行数据挖掘分析整合。第三部分是数据库。中问层的核心是第二部分,也是在线教育交互平台的核心。如图3所示。
面对迅速增加的复杂数据,在线教育交互平台利用云计算和大数据进行现代数据管理,支持所有数据类型,如文件、图片、视频、博客、点击流和地理空问数据等,并以“云存储”持久存储于数据中心,保持数据实时更新,实现数据共享、分析、发现、整合和优化数据,提升数据价值。
利用负载平衡优势,有效透明地扩展网络设备和服务器的带宽、增加在线教育交互平台的吞叶量、加强平台网络数据处理能力、提高服务的灵活性和可用性。面对用户大量的并发访问或数据流量,可以分担到多台设备上处理,减少教师和学习者的等待响应的时间;同时做并行处理,处理结果汇总返回到在线交互平台,平台系统处理能力得到大幅度提高。
离线数据是用户访问的各种数据库中的信息资源,是从服务器端、客户端、代理服务器端中采集的用户访问信息和行为信息。利用大数据技术进行数据处理,清除不需要的数据,用聚类、分类等算法对处理之后的数据进行模式分析,成立样本数据资源为数据流挖掘分析作准备。在线数据是由于数据流的动态性和流量大的特点,在实现数据流挖掘时,对流入的数据流,利用云计算做到占用内存少,处理速度快,实现关联规则、分类和聚类的挖掘。
整合数据是将离线数据作为样本库的参考,对在线数据进行分析,及时有效的反馈结果,并且随着时间的推移和用户对信息资源的需求改变,及时更新资源分析结果。通过数据挖掘过程,对数据过滤、分析和整合,建立多资源分类结果,按照用户的不同需求进行决策,形成索引为用户访问和使用服务提供便利。整合数据主要是为整合用户做准备,将用户的信息资源进行相似度分析,对于类似的用户归类,进行同类信息资源的分配。根据在线学习者的基本信息、学习风格、学习满意度和学习感知四维度的服务需求,可实现用户的定制服务、个性化服务、精准服务,便于用户方便提取自己需要的资源。最后将用户需要的资源根据授权不同。做统一标准化处理。上传至服务应用层,展现于用户的界面。
4.基于云计算和大数据的在线教育交互平台应用优势
云计算和大数据结合对在线教育的发展具有巨大的促进作用,不仅是针对提供的服务,更是对教育发展的促进,增强在线教育的核心竞争力,保持在线教育的健康发展。4.1实现针对不同用户的个性化精准服务
在从以资源为核心的在线教育平台建设到以用户为核心的个性化在线教育平台建设过程中,最主要的变化的就是针对不同用户提供不同的个性化服务。而云计算和大数据的应用就在于加强对在线教育的平台用户研究与交互数据的分析利用。并基于分析结果。改善服务内容,提升个性化服务的质量,完成平台对用户的跟踪服务、精准服务、知识关联服务和宣传推广服务。面对平台快速增长的数据,从中提取有价值的信息,实时分析反馈,建立不同类别的用户模型,达到针对不同用户提供针对性服务、增强用户体验、提高服务质量的目标。即使分析的数据源相同,但是由于提供对象不同,分析结果会不同,提供的服务也不同,做到精准服务。即使是同类用户,针对不同的个体,分析数据源不同,结果不同,提供的服务也不尽相同,做到个性化服务。
4.2提供教育发展动向以及热点的变化
通过大数据和云计算技术,改变了被动更新教学资源的情况,变成根据在线学习者的需求主动更新资源,提升了在线教育平台的作用。不仅为在线学习者提供了需要的学习资源,也为在线教师提供更有质量的教学资源和研究依据。在线教育交互平台通过对用户数据的收集、整理、分析、深度挖掘和汇总,在宏观上分析相关教育领域的发展动向和热点变化,更快地洞察最新的学习者兴趣走向,以及相关领域的内容进展,更新在线平台的学习资源,并且保证学习内容的实时性和前沿性。同时通过汇总结果有效评估在线学习者对各种教学资源的使用情况,并且根据热点分析和目前已有教学资源交叉对比,可以有效评估教学资源的质量,利于在线教育交互平台持久发展。4.3提供无限量的数据存储能力和更可靠的数据安全性
随着在线教育交互的发展,信息数据量迅猛增长,产生出大量的半结构化、非结构化信息数据,对存储的要求愈加严格。云计算的出现使得海量数据的存储与运算得到了解决,分布式存储的方式可以持续收集大量数据,不会造成存储空问的不足。在线教育交互平台应用“云存储”方式,保证存储数据的可靠性,并能够实时更新,有效解决海量数据资源的查询、管理等问题。云计算使用数据多副本容错、设备同构可互换等手段来保障平台的数据存储安全。数据存储到“云”中,不会受到计算机病毒或硬盘损坏造成的数据丢失。同时解放了用户对终端设备能力的要求。4.4提高在线教育交互平台管理能力
应用云计算和大数据的在线教育交互平台,能够面向具体应用的数据需求,做到快速、及时和有效地响应。根据需求的变化和增长,平台具有很好的性能扩展空问和扩容时稳定和可靠的支持,高效处理多种类型数据。在线教育机构以此平台为基础利用云计算技术和大数据的优势,充分挖掘自身数据价值,实现数据资产从成本中心到利润中心的转变。通过整合数据资产,对数据资产进行标准化,形成灵活可扩展、易于更新、可管控的、可隔离、绿色环保的高效分析型数据管理交互平台,实现支持标准开发、用户自服务、多元化开发多种应用支持模式,形成松祸合、可异构的基础数据和应用数据两级数据管理层次。同时,在线教育机构可以驾驭自身数据资产,全面提升平台的数据信息管理能力,尽力获取对在线学习者和在线教师的洞察,以数据驱动在线教育的发展。
5.结论
对于在线教育交互这个重要研究领域而言,云计算和大数据技术的出现不仅影响着在线教育交互的形态,也为交互信息分析提供了新的思路和手段。一方面,新的技术使交互行为不断向着实时化和碎片化的方向发展,使交互过程日益复杂;另一方面,新的技术又使获得大量交互数据、特别是行为数据成为了可能,从而有更多了解在线学习过程和进行教学决策的依据。在线教育交互作为信息服务,尽管在线教育交互平台有资源的优势,但在技术等方面的劣势也限制了其本身的发展。本文构建基于大数据和云计算支持的在线教育交互平台模型,分析平台的功能实现,使在线的学习者和教师可以实现完美的在线交互活动,总结出利用云计算和大数据的在线教育交互平台的特点优势。因此,在线教育交互平台的快速发展需要利用云计算和大数据创新提升在线教育交互的核心竞争力。
第四篇:浅析计算机网络安全和防火墙技术 论文
JIU JIANG UNIVERSITY
毕 业 论 文
题 目: 浅析计算机网络安全和防火墙技术
院 系: 信息科学与技术学院 专 业: 网络系统管理 姓 名:
年 级: 指导老师 :
二零一一年十一月二十日
摘 要
随着时代的发展,Internet日益普及,网络已经成为信息资源的海洋,给人们带来了极大的方便。但由于Internet是一个开放的,无控制机构的网络,经常会受到计算机病毒、黑客的侵袭。它可使计算机和计算机网络数据和文件丢失,系统瘫痪。因此,计算机网络系统安全问题必须放在首位。作为保护局域子网的一种有效手段,防火墙技术备受睐。
本文主要阐述了网络安全技术所要受到的各方面威胁以及自身存在的一些缺陷,所谓知己知彼,百战不殆。只有了解了网络安全存在的内忧外患,才能更好的改善网络安全技术,发展网络安全技术。然后主要阐述防火墙在网络安全中起到的巨大的作用,防火墙的优缺点及各种类型防火墙的使用和效果。
计算机网络技术的在飞速发展中,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要,只有熟悉了各种对网络安全的威胁,熟悉各种保护网路安全的技术,我们才能更好的保护计算机和信息的安全。
关键字:计算机网络;网络安全;防范措施;防火墙技术
II
Abstract With the development of The Times, the Internet has become increasingly popular and network information resources of the sea, and bring great convenience。But because of the Internet is an open, without control network, computer virus, often by hackers。It can make the computer and the computer network, the system files and data loss。Therefore, the computer network system security problems must be given priority。As the protection of local subnet an effective means, firewall technology。
This article mainly elaborated by network security technology to every aspect of the threat and its existence, some defects, so-called awareness。The existence of the 1930's and network security, can improve network security technology, the development of network security technology。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。
The computer network technology, especially in the rapid development of the Internet is becoming more and more widely applied in brought an unprecedented huge amounts of information, network of openness and freedom in the private information and data were damaged or infringed, the possibility of network information security is becoming increasingly important, only familiar to all kinds of network security threats, familiar with various protection network security technology, we can better protect the computer and information security。
Key words: Computer network, Network security, The prevention measures, Firewall technology
III
目录
摘 要..................................................................II Abstract..............................................................III 引言....................................................................5 第一章 网络安全概述.....................................................6 1.1计算机网络安全的含义...........................................................6 1.2网络信息安全的主要威胁.........................................................6 1.2.1自然威胁...................................................................6 1.2.2人为威胁—黑客攻击与计算机病毒.............................................6 1.3计算机网络中的安全缺陷及产生原因...............................................8 1.5影响计算机网络安全的因素.......................................................8 第二章 计算机网络安全防范策略..........................................10 2.1防火墙技术....................................................................10 2.2 数据加密与用户授权访问控制技术..............................................12 2.3 入侵检测技术.................................................................13 2.4防病毒技术....................................................................13 2.4.1 对付病毒有以下四种基本方法.................................................14 2.5安全管理队伍的建设............................................................17 第三章防火墙技术........................................................18 3.1防火墙的定义..................................................................18 3.2防火墙的功能..................................................................18 3.2.1防火墙是网络安全的屏障......................................................18 3.2.2防火墙的种类................................................................18 3.3 防火墙的技术原理............................................................18 3.4 防火墙的应用.................................................................19 3.4.1个人防火墙的应用............................................................19 3.4.2防火墙技术在校园网中应用....................................................23 结论...................................................................25 致谢...................................................................26 参考文献...............................................................27 IV
引言
近年来,随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,计算机网络的安全性变得日益重要起来,由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素,致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击【1】。
为确保信息的安全与网络畅通,研究计算机网络的安全与防护措施已迫在眉捷,但网络安全问题至今仍没有能够引起足够的重视,更多的用户认为网络安全问题离自己尚远,这一点从大约有40%以上的用户特别是企业级用户没有安装防火墙(Firewall)便可以窥见一斑,而所有的问题都在向大家证明一个事实,大多数的黑客入侵事件都是由于未能正确安装防火墙而引发,所以防火墙技术应当引起我们的注意和重视。
本文主要研究网络安全的缺陷原由及网络安全技术的原理和其他技术,如防火墙技术对网络安全起到的不可忽视的影响。
第一章 网络安全概述
1.1计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
1.2网络信息安全的主要威胁
网络安全所面临的威胁来自很多方面,并且随着时问的变化而变化。这些威胁可以宏观地分为自然威胁和人为威胁。
1.2.1自然威胁
自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备的自然老化等。这些无目的的事件,有时会直接威胁网络的安全,影响信息的存储媒体。威胁分别有:
1.自然灾害(如雷电、地震、火灾、水灾等),物理损坏(如硬盘损坏、设备使用寿命到期、外力破损等),设备故障(如停电断电、电磁干扰等),意外事故。
2.电磁泄漏(如侦听微机操作过程)。
3.操作失误(如删除文件,格式化硬盘,线路拆除等),意外疏漏(如系统掉电、死机等系统崩溃)
4.计算机系统机房环境的安全。
1.2.2人为威胁—黑客攻击与计算机病毒
人为威胁就是说对网络的人为攻击。这些攻击手段都是通过寻找系统的弱点【2】,以便达到破坏、欺骗、窃取数据等目的,造成经济上和政治上不可估量的损失。网络安全的人为威胁主要分为以下几种: 网络缺陷
Intemet由于它的开放性迅速在全球范围内普及,但也正是因为开放性使其保护信息安全存在先天不足。Internet最初的设计考虑主要是考虑资源共享,基本没有考虑安全问题,缺乏相应的安全监督机制。
黑客攻击
自1998年后,网上的黑客越来越多,也越来越猖獗;与此同时黑客技术逐渐被越来越多的人掌握现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力”强,这是网络安全的主要威胁之一。 各种病毒
病毒时时刻刻威胁着整个互联网。像Nimda和CodeRed的爆发更是具有深远的影响,促使人们不得不在网络的各个环节考虑对于各种病毒的检测防治,对病毒彻底防御的重要性毋庸置疑。 管理的欠缺及资源滥用
很多上了互联网的企业缺乏对于网络安全的认识,管理上存在很多漏洞,特别是国内的企业,只是提供了接入Internet的通道,对于网络上黑客的攻击缺乏基本的应对措施,同时企业内部普遍存在资源滥用现象,这是造成网络安全问题的根本原因。软件的漏洞和后门:随着CPU的频率越来越高,软件的规模越来越大,软件系统中的漏洞也不可避免的存在,强大如微软所开发的Windows也存在。各种各样的安全漏洞和“后门”,这是网络安全的主要威胁之一。 网络内部用户的误操作和恶意行为
对于来自网络内部的攻击,主流的网络安全产品防火墙基本无能为力,这类攻击及其误操作行为需要网络信息审计、IDS等主要针对内部网络安全的安全产品来抵御。
网络资源滥用
网络有了安全保证和带宽管理,依然不能防止员工对网络资源的滥用。等行为极大地降低了员工的工作效率。管理层希望员工更加有效地使用互联网,尽量避免网络对工作带来负面影响。 信息泄漏
恶意、过失的不合理信息上传和发布,可能会造成敏感信息泄漏、有害信息扩散,危及社会、国家、体和个人利益。更有基于竞争需要,利用技术手段对目标机信息资源进行窃取。在众多人为威胁中来自用户和恶意软件即计算机病毒的非法侵入严重,计算机病毒是利用程序干扰破坏系统正常工作的一种手段,它的产生和蔓延给信息系统的可靠性和安全性带来严重的威胁和巨大的损失。 操作系统存在的安全问题
操作系统是作为一个支撑软件,使得你的程序或别的应用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,都给网络安全留下隐患。
数据库存储的内容存在的安全问题
数据库管理系统大量的信息存储在各种各样的数据库里面,包括我们上网看到的所有信息,数据库主要考虑的是信息方便存储、利用和管理,但在安全方面考虑的比较少。例如:授权用户超出了访问权限进行数据的更改活动;非法用户绕过安全内核,窃取信息。对于数据库的安全而言,就是要保证数据的安全可靠和正确有效,即确保数据的安全性、完整性。数据的安全性是防止数据库被破坏和非法的存取;数据库的完整性是防止数据库中存在不符合语义的数据。
1.3计算机网络中的安全缺陷及产生原因
①网络安全天生脆弱
计算机网络安全系统的脆弱性是伴随计算机网络一同产生的,换句话说,安全系统脆弱是计算机网络与生俱来的致命弱点。在网络建设中,网络特性决定了不可能无条件、无限制的提高其安全性能。要使网络更方便快捷,又要保证网络安全,这是一个非常棘手的“两难选择”,而网络安全只能在“两难选择”所允许的范围中寻找支撑点。可以说世界上任何一个计算机网络都不是绝对安全的
②黑客攻击后果严重
近几年,黑客猖狂肆虐,四面出击,使交通通讯网络中断,军事指挥系统失灵,电力供水系统瘫痪,银行金融系统混乱„„危及国家的政治、军事、经济的安全与稳定,在世界各国造成了难以估量的损失。
③网络杀手集团化
目前,网络杀手除了一般的黑客外,还有一批具有高精尖技术的“专业杀手”,更令人担忧的是出现了具有集团性质的“网络恐怖分子”甚至政府出面组织的“网络战”、“黑客战”,其规模化、专业性和破坏程度都使其他黑客望尘莫及。可以说,由政府组织的“网络战”、“黑客战”是当前网络安全的最大隐患。目前,美国正开展用无线电方式、卫星辐射式注入方式、网络方式把病毒植入敌方计算机主机或各类传感器、网桥中的研究以伺机破坏敌方的武器系统、指挥控制系统、通信系统等高敏感的网络系统。另外,为达到预定目的,对出售给潜在敌手的计算机芯片进行暗中修改,在CPU中设置“芯片陷阱”,可使美国通过因特网发布指令让敌方电脑停止工作,以起到“定时炸弹”的作用。
1.5影响计算机网络安全的因素
①网络资源的共享性
资源共享是计算机网络应用的主要目的,但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着互联网需求的日益增长,外部服务请求不可能做到完全隔离,攻击者利用服务请求的机会很容易获取网络数据包。
②网络的开放性
网上的任何一个用户很方便访问互联网上的信息资源,从而很容易获取到一个企业、单位以及个人的敏感性信息。
③网络操作系统的漏洞
网络操作系统是网络协议和网络服务得以实现的最终载体之一,它不仅
负责网络硬件设备的接口封装,同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性,决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。
④网络系统设计的缺陷
网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下,还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。
⑤恶意攻击
就是人们常见的黑客攻击及网络病毒,这是最难防范的网络安全威胁。随着电脑教育的大众化,这类攻击也是越来越多,影响越来越大。
第二章 计算机网络安全防范策略
计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,任何一个单独的组件都无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、入侵检测技术、防病毒技术等,以下就此几项技术分别进行分析。2.1防火墙技术
防火墙
防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦着火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。在电脑术语中,当然就不是这个意思了,我们可 以类比来理解,在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
防火墙(FireWall)成为近年来新兴的保护计算机网络安全技术性措施。它是一种隔离控制技术,在某个机构的网络和不安全的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止重要信息从企业的网络上被非法输出。作为Internet网的安全性保护软件,FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统安全,在企业网和Internet间设立FireWall软件。企业信息系统对于来自Internet的访问,采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问,也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说,就要不仅分析IP层的信息,而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器 上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。
为了让大家更好地使用防火墙,我们从反面列举4个有代表性的失败案例。例1:未制定完整的企业安全策略
网络环境:某中型企业购买了适合自己网络特点的防火墙,刚投入使用后,发现以前局域网中肆虐横行的蠕虫病毒不见了,企业网站遭受拒绝服务攻击的次数也大大减少了,为此,公司领导特意表扬了负责防火墙安装实施的信息部。
该企业网络环境如图2.1所示:
图2.1 该企业内部网络的核心交换机是带路由模块的三层交换机,出口通过路由器和ISP连接。内部网划分为5个VLAN,VLAN
1、VLAN 2和VLAN 3分配给不同的部门使用,不同的VLAN之间根据部门级别设置访问权限;VLAN 4分配给交换机出口地址和路由器使用;VLAN 5分配给公共服务器使用。在没有加入防火墙之前,各个VLAN中的PC机能够通过交换机和路由器不受限制地访问Internet。加入防火墙后,给防火墙分配一个VLAN 4中的空闲IP地址,并把网关指向路由器;将VLAN 5接入到防火墙的一个网口上。这样,防火墙就把整个网络分为3个区域: 内部网、公共服务器区和外部网,三者之间的通信受到防火墙安全规则的限制。
问题描述:防火墙投入运行后,实施了一套较为严格的安全规则,导致公司员工无法使用QQ聊天软件,于是没过多久就有员工自己拨号上网,导致感染了特洛依木马和蠕虫等病毒,并立刻在公司内部局域网中传播开来,造成内部网大面积瘫痪。
问题分析:我们知道,防火墙作为一种保护网络安全的设备,必须部署在受保护网络的边界处,只有这样防火墙才能控制所有出入网络的数据通信,达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一,有很多出入口,那么只部署一台防火墙是不够的。在本案例中,防火墙投入使用后,没有禁止私自拨号上网行为,使得许多PC机通过电话线和Internet相连,导致网络边界不惟一,入侵者可以通过攻击这些PC机然后进一步攻击内部网络,从而成功地避开了防火墙。
解决办法:根据自己企业网的特点,制定一整套安全策略,并彻底地贯彻实施。比如说,制定一套安全管理规章制度,严禁员工私自拨号上网;同时封掉拨号上网的电话号码,并购买检测拨号上网的软件,这样从管理和技术上杜绝出现网络边界不惟一的情况发生。另外,考虑到企业员工的需求,可以在防火墙上添加按照时间段生效的安全规则,在非工作时间打开QQ使用的TCP/UDP端口,使得企业员工可以在工余时间使用QQ聊天软件。
例2:未考虑与其他安全产品的配合使用
问题描述:某公司购买了防火墙后,紧接着又购买了漏洞扫描和IDS(入侵检测系统)产品。当系统管理员利用IDS发现入侵行为后,必须每次都要手工调
整防火墙安全策略,使管理员工作量剧增,而且经常调整安全策略,也给整个网络带来不良影响。
问题分析:选购防火墙时未充分考虑到与其他安全产品如IDS的联动功能,导致不能最大程度地发挥安全系统的作用。
解决办法:购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品,以及具体产品名称和型号,然后确定所要购买的防火墙是否有联动功能(即是否支持其他安全产品,尤其是IDS产品),支持的是哪些品牌和型号的产品,是否与已有的安全产品名称相符,如果不符,最好不要选用,而选择能同已有安全产品联动的防火墙。这样,当IDS发现入侵行为后,在通知管理员的同时发送消息给防火墙,由防火墙自动添加相关规则,把入侵者拒之门外。
例3:未经常维护升级防火墙 问题描述:某政府机构购置防火墙后已安全运行一年多,由于该机构网络结构一直很稳定,没有什么变化,各种应用也运行稳定,因此管理员逐渐放松了对防火墙的管理,只要网络一直保持畅通即可,不再关心防火墙的规则是否需要调整,软件是否需要升级。而且由于该机构处于政府专网内,与Internet物理隔离,防火墙无法实现在线升级。因此该机构的防火墙软件版本一直还是购买时的旧版本,虽然管理员一直都收到防火墙厂家通过电子邮件发来的软件升级包,但从未手工升级过。在一次全球范围的蠕虫病毒迅速蔓延事件中,政府专网也受到蠕虫病毒的感染,该机构防火墙因为没有及时升级,无法抵御这种蠕虫病毒的攻击,造成整个机构的内部网大面积受感染,网络陷于瘫痪之中。
问题分析:安全与入侵永远是一对矛盾。防火墙软件作为一种安全工具,必须不断地升级与更新才能应付不断发展的入侵手段,过时的防护盾牌是无法抵挡最先进的长矛的。作为安全管理员来说,应当时刻留心厂家发布的升级包,及时给防火墙打上最新的补丁。
解决办法:及时维护防火墙,当本机构发生人员变动、网络调整和应用变化时,要及时调整防火墙的安全规则,及时升级防火墙。
从以上三个案例我们可以得出一些结论:防火墙只是保证安全的一种技术手段,要想真正实现安全,安全策略是核心问题。保护网络安全不仅仅是防火墙一种产品,只有将多种安全产品无缝地结合起来,充分利用它们各自的优点,才能最大限度地保证网络安全。而保护网络安全是动态的过程,防火墙需要积极地维护和升级。
2.2 数据加密与用户授权访问控制技术
与防火墙相比,数据加密与用户授权访问控制技术比较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是对称密钥算法”。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信急,也可以用该密钥解密信息,DES是对称加密算法中最具代表性的算法。在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的信息【5】。典型的公钥加密算法~nRSA是目前使用比较广泛的加密算法
2.3 入侵检测技术
入侵检测系统(IntrusionDetectionSystem,IDS)是从多种计算机系统及网络系统中收集信息,再通过此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击:在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵【6】。
入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术的功能主要体现在以下方面: 1)分析用户及系统活动,查找非法用户和合法用户的越权操作; 2)检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞; 3)识别反映已知进攻的活动模式并向相关人上报警; 4)对异常行为模式的统计分析;
5)能够实时地对检测到的入侵行为进行反应; 6)评估重要系统和数据文件的完整性; 7)可以发现新的攻击模式; 入侵检测方法
方法有很多,如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实现
1.监视、分析用户及系统活动;
2.系统构造和弱点的审计;
3.识别反映已知进攻的活动模式并向相关人士报警;
4.异常行为模式的统计分析;
5.评估重要系统和数据文件的完整性;
6.操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
入侵检测技术同样存在问题
1.现有的入侵检测系统检测速度远小于网络传输速度, 导致误报率和漏报率
2.入侵检测产品和其它网络安全产品结合问题, 即期间的信息交换,共同协作发现攻击并阻击攻击
3.基于网络的入侵检测系统对加密的数据流及交换网络下的数据流不能进行检测, 并且其本身构建易受攻击
4.入侵检测系统体系结构问题
2.4 防病毒技术
计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和
破坏。实际上这是一种动态判定技术,即一种行为规则判定技术。也就是说,计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作,尤其是写操作。
预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如,大家所熟悉的防病毒卡,其主要功能是对磁盘提供写保护,监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令,并且判断磁盘当前所处的状态:哪一个磁盘将要进行写操作,是否正在进行写操作,磁盘是否处于写保护等,来确定病毒是否将要发作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。目前,对已知病毒的预防可以采用特征判定技术或静态判定技术,而对未知病毒的预防则是一种行为规则的判定技术,即动态判定技术。
一、计算机病毒的预防技术
计算机病毒的预防技术就是通过一定的技术手段防止计算机病毒对系统的传染和破坏。实际上这是一种动态判定技术,即一种行为规则判定技术。也就是说,计算机病毒的预防是采用对病毒的规则进行分类处理,而后在程序运作中凡有类似的规则出现则认定是计算机病毒。具体来说,计算机病毒的预防是通过阻止计算机病毒进入系统内存或阻止计算机病毒对磁盘的操作,尤其是写操作。
预防病毒技术包括:磁盘引导区保护、加密可执行程序、读写控制技术、系统监控技术等。例如,大家所熟悉的防病毒卡,其主要功能是对磁盘提供写保护,监视在计算机和驱动器之间产生的信号。以及可能造成危害的写命令,并且判断磁盘当前所处的状态:哪一个磁盘将要进行写操作,是否正在进行写操作,磁盘是否处于写保护等,来确定病毒是否将要发作。计算机病毒的预防应用包括对已知病毒的预防和对未知病毒的预防两个部分。目前,对已知病毒的预防可以采用特征判定技术或静态判定技术,而对未知病毒的预防则是一种行为规则的判定技术,即动态判定技术。
二、检测病毒技术
计算机病毒的检测技术是指通过一定的技术手段判定出特定计算机病毒的一种技术。它有两种:一种是根据计算机病毒的关键字、特征程序段内容、病毒特征及传染方式、文件长度的变化,在特征分类的基础上建立的病毒检测技术。另一种是不针对具体病毒程序的自身校验技术。即对某个文件或数据段进行检验和计算并保存其结果,以后定期或不定期地以保存的结果对该文件或数据段进行检验,若出现差异,即表示该文件或数据段完整性已遭到破坏,感染上了病毒,从而检测到病毒的存在。
三、清除病毒技术
计算机病毒的清除技术是计算机病毒检测技术发展的必然结果,是计算机病毒传染程序的一种逆过程。目前,清除病毒大都是在某种病毒出现后,通过对其进行分析研究而研制出来的具有相应解毒功能的软件。这类软件技术发展往往是被动的,带有滞后性。而且由于计算机软件所要求的精确性,解毒软件有其局限性,对有些变种病毒的清除无能为力。目前市场上流行的Intel公司的PC_CILLIN、CentralPoint公司的CPAV,及我国的LANClear和Kill89等产品均采用上述三种防病毒技术
2.4.1 对付病毒有以下四种基本方法
1、基于网络目录和文件安全性方法
以NetWare为例,在NetWare中,提供了目录和文件访问权限与属性两种安全性措施。“访问权限有:防问控制权、建立权、删除权、文件扫描权、修改权、读权、写权和管理权。属性有:需归档、拷贝禁止、删除禁止、仅执行、隐含、索引、清洗、读审记、写审记、只读、读写、改名禁止、可共享、系统和交易。属性优先于访问权限。根据用户对目录和文件的操作能力,分配不同的访问权限和属性。例如,对于公用目录中的系统文件和工具软件,应该只设置只读属性,系统程序所在的目录不要授予修改权和管理权。这样,病毒就无法对系统程序实施感染和寄生,其它用户也就不会感染病毒。
由此可见,网络上公用目录或共享目录的安全性措施,对于防止病毒在网上传播起到积极作用。至于网络用户的私人目录,由于其限于个别使用,病毒很难传播给其它用户。采用基于网络目录和文件安全性的方法对防止病毒起到了一定作用,但是这种方法毕竟是基于网络操作系统的安全性的设计,存在着局限性。现在市场上还没有一种能够完全抵御计算机病毒侵染的网络操作系统,从网络安全性措施角度来看,在网络上也是无法防止带毒文件的入侵。
2、采用工作站防病毒芯片
这种方法是将防病毒功能集成在一个芯片上,安装在网络工作站上,以便经常性地保护工作站及其通往服务器的路径。工作站是网络的门户,只要将这扇门户关好,就能有效地防止病毒的入侵。将工作站存取控制与病毒保护能力合二为一插在网卡的EPROM槽内,用户也可以免除许多繁琐的管理工作。
Trend Micro Devices公司解决的办法是基于网络上每个工作站都要求安装网络接口卡网络接口卡上有一个Boot Rom芯片,因为多数网卡的Boot Rom并没有充分利用,都会剩余一些使用空间,所以如果安全程序够小的话,就可以把它安装在网络的Boot Rom的剩余空间内,而不必另插一块芯片。
市场上Chipway防病毒芯片就是采用了这种网络防病毒技术。在工作站DOS引导过程中,ROMBIOS,Extended BIOS装入后,Partition Table装入之前,Chipway获得控制权,这样可以防止引导型病毒。Chipway的特点是:①不占主板插槽,避免了冲突;②遵循网络上国际标准,兼容性好;③具有他工作站防毒产品的优点。但目前,Chipway对防止网络上广为传播的文件型病毒能力还十分有限。
3、采用Station Lock网络防毒方法
Station Lock是著名防病毒产品开发商Trend Micro Devices公司的新一代网络防病毒产品。其防毒概念是建立在”病毒必须执行有限数量的程序之后,才会产生感染效力“的基础之上。例如,病毒是一个不具自我辨别能力的小程序,在病毒传染过程中至少必须拦截一个DOS中断请求,而且必须试图改变程序指针,以便让系统优先执行病毒程序从而获得系统控制权。引导型病毒必须使用系统的BIOS功能调用,文件型病毒必须将自己所有的程序代码拷贝到另一个系统执行文件时才能复制感染。混合型病毒和多形体病毒在实施感染之前也必须获取系统控制权,才能运行病毒体程序而实施感染。Station Lock就是通过这些特点,用间接方法观察,精确地预测病毒的攻击行为。其作用对象包括多型体病毒和未来型病毒。
Station Lock也能处理一些基本的网络安全性问题,例如存取控制、预放未授权拷贝以及在一个点对点网络环境下限制工作站资源相互存取等。Station Lock能根据病毒活动辩别可能的病毒攻击意图,并在它造成任
何破坏之前予以拦截。由于Station Lock是在启动系统开始之前,就接管了工作站上的硬件和软件,所以病毒攻击Station Lock是很困难的。Station Lock是目前网络环境下防治病毒比较有效的方法。
4、基于服务器的防毒技术
服务器是网络的核心,一旦服务器被病毒感染,就会使服务器无法启动,整个网络陷于瘫痪,造成灾难性后果。目前基于服务器的防治病毒方法大都采用了NLM(NetWare Load Module)技术以NLM模块方式进行程序设计,以服务器为基础,提供实时扫描病毒能力。市场上的产品如Central Point公司的AntiVirus for Networks,Intel公司的LANdesk Virus Protect以及南京威尔德电脑公司的Lanclear for NetWare等都是采用了以服务器为基础的防病毒技术。这些产品的目的都是保护服务器,使服务器不被感染。这样,病毒也就失去了传播途径,因而从根本上杜绝了病毒在网上蔓延。
(1)对服务器中所有文件扫描
这一方法是对服务器的所有文件进行集中检查看其是否带毒,若有带毒文件,则提供给网络管理员几种处理方法。允许用户清除病毒,或删除带毒文件,或更改带毒文件名成为不可执行文件名并隔离到一个特定的病毒文件目录中。
(2)实时在线扫描
网络防病毒技术必须保持全天24小时监控网络是否有带毒文件进入服务器。为了保证病毒监测实时性,通常采用多线索的设计方法,让检测程序作为一个随时可以激活的功能模块,且在NetWare运行环境中,不影响其它线索的运行。这往往是设计一个NLM最重要的部分,即多线索的调度。实时在线扫描能非常及时地追踪病毒的活动,及时告之网络管理员和工作站用户。
(3)扫描选择
该功能允许网络管理员定期检查服务器中是否带毒,例如可按每月、每星期、每天集中扫描一下网络服务器,这样就使网络用户拥有极大的操作选择余地。
(4)自动报告功能及病毒存档
当网络用户将带毒文件有意或无意地拷入服务器中时,网络防病毒系统必须立即通知网络管理员,或涉嫌病毒的使用者,同时自己记入病毒档案。病毒档案一般包括:病毒类型、病毒名称、带毒文件所存的目录及工作站标识等,另外,记录对病毒文件处理方法。
(5)工作站扫描
基于服务器的防病毒软件不能保护本地工作站的硬盘,有效的方法是在服务器上安装防毒软件,同时在上网的工作站内存中调入一个常驻扫毒程序,实时检测在工作站中运行的程序。如LANdesk Virus Protect采用Lpscan,而LANClear for NetWare采用world程序等。
(6)对用户开放的病毒特征接口
大家知道病毒及其变种层出不穷。据有关资料报道,截止1994年2月25日,全世界流传的MSDOS病毒达2700多种。如何使防病毒系统能对付不断出现的新病毒?这要求开发商能够使自己的产品具有自动升级功能,也就是真正交给网络
用户防治病毒的一把金钥匙。其典型的做法是开放病毒特征数据库。用户随时将遇到的带毒文件,经过病毒特征分析程序,自动将病毒特征加入特征库,以随时增强抗毒能力。当然这一工作难度极大,需要不懈的努力。在上述四种网络防毒技术中,Station Lock是一种针对病毒行为的防治方法,StationLock目前已能提供Intel以太网络接口卡支持,而且未来还将支持各种普及型的以太令牌环(Token-Ring)网络接口卡。基于服务器的防治病毒方法,表现在可以集中式扫毒,能实现实时扫描功能,软件升级方便。特别是当连网的机器很多时,利用这种方法比为每台工作站都安装防病毒产品要节省成本。其代表性的产品有LANdesk、LANClear for NetWare等。
2.5 安全管理队伍的建设
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。
第三章 防火墙技术
3.1 防火墙的定义
防火墙是指设置在不同网络或网络安全域之间信息的唯一出入口,能根据网络的安全政策控制(允许拒绝监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
Internet防火墙是一个或一组系统,它能增强机构内部网络的安全性,用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取,防火墙系统还决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部的服务,以及哪些外部服务何时可以被内部人员访问。要使一个防火墙有效,所有来自和去往Internet的信息都必须经过防火墙并接受检查。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。但是,防火墙系统一旦被攻击突破或迂回绕过,就不能提供任何保护了。3.2防火墙的功能
3.2.1 防火墙是网络安全的屏障
防火墙(作为阻塞点,控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
防火墙可以强化网络安全策略,通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令加密身份认证审计等)配置在防火墙上,对网络存取和访问进行监控审计:所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据,当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。防止内部信息的外泄,通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,而限制了局部重点或敏感网络安全问题对全局网络造成的影响。3.2.2防火墙的种类
防火墙技术可根据防范的方式和侧重点的不同,总体来讲可分为二大类:分组过滤,应用代理。
分组过滤(Packetfiltering);作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号,协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。
应用代理(ApplicationProxy):也叫应用网关(ApplicationGateway), 它作用在应用层,其特点是完全 “ 阻隔 ” 了网络通信流通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用,实际中的应用网关通常由专用工作站实现【8】。
3.3 防火墙的技术原理
目前,防火墙系统的工作原理因实现技术不同,大致可分为三种:(1)包过滤技术
包过滤技术是一种基于网络层的防火墙技术。根据设 置好的过滤规则,通
过检查IP数据包来确定是否该数据包通过。而那些不符合规定的IP地址会被防火墙过滤掉,由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包过滤技术实际上是一种基于路由器的技术,其最大优点就是价格便宜,实现逻辑简单便于安装和使用。
缺点:1)过滤规则难以配置和测试。2)包过滤只访问网络层和传输层的信息,访问信息有限,对网络更高协议层的信息无理解能力。3)对一些协议,如UDP和RPC难以有效的过滤。
(2)代理技术
代理技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想就是在两个网络之间设置一个“中间检查站”,两边的网络应用可以通过这个检查站相互通信,但是它们之间不能越过它直接通信。这个“中间检查站”就是代理服务器,它运行在两个网络之间,对网络之间的每一个请求进行检查。当代理服务器接收到用户请求后,会检查用户请求合法性。若合法,则把请求转发到真实的服务器上,并将答复再转发给用户。代理服务器是针对某种应用服务而写的,工作在应用层。
优点:它将内部用户和外界隔离开来,使得从外面只能看到代理服务器而看不到任何内部资源。与包过滤技术相比,代理技术是一种更安全的技术【9】。
缺点:在应用支持方面存在不足,执行速度较慢。(3)状态监视技术 这是第三代防火墙技术,集成了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样,它能够检测通过IP地址、端口号以及TCP标记,过滤进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接,不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过己知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。
状态监视器的监视模块支持多种协议和应用程序,可方便地实现应用和服务的扩充。此外,它还可监测RPC和UDP端口信息,而包过滤和代理都不支持此类端口。这样,通过对各层进行监测,状态监视器实现网络安全的目的。目前,多使用状态监测防火墙,它对用户透明,在OSI最高层上加密数据,而无需修改客户端程序,也无需对每个需在防火墙上运行的服务额外增加一个代理。
要想建立一个真正行之有效的安全的计算机网络,仅使用防火墙还是不够,在实际的应用中,防火墙常与其它安全措施,比如加密技术、防病毒技术等综合应用,才起到防御的最大化的效果。3.4 防火墙的应用
3.4.1 个人防火墙的应用 瑞星个人防火墙的应用 1)安装
第一步启动安装程序。
当把瑞星个人防火墙下载版安装程序保存到您电脑中的指定目录后,找到该目录,双击运行安装程序,就可以进行瑞星个人防火墙下载版的安装了。
第二步完成安装后,如图3.1:
图3.1 第三步输入产品序列号和用户ID。
启动个人防火墙,当出现如图3.2下所示的窗口后,在相应位置输入您购买获得的产品序列号和用户ID,点击“确定”,通过验证后则会提示“您的瑞星个人防火墙现在可以正常使用”。
图3.2 常见问题:不输入产品序列号和用户ID,产品将无法升级,防火墙保护功能将全部失效,您的计算机将无法抵御黑客攻击。
2)升级
第一步网络配置:
•打开防火墙主程序
•在菜单中依次选择【设置】/【设置网络】,打开【网络设置】窗口,如图3.3
图3.3 1。设定网络连接方式,如果设定“通过代理服务器访问网络”,还需要输入代理服务器IP、端口、身份验证信息。
2。您可以选中【使用安全升级模式】,确保升级期间阻止新的网络连接 3。点击【确定】按钮完成设置
小提示:
1。如果您已经可以浏览网页,说明网络设置已经配置好了,这里直接使用默认设置即可。
2。如果您不使用拨号方式上网,将不会看到界面中【使用拨号网络连接】的选项以及相关设置。
3。请确保此步设置正确,否则可能无法完成智能升级。
第二步:智能升级
完成网络配置后,进行智能升级的操作方法:
方法一:点击主界面右侧的【智能升级】按钮,图3.4示:
图3.4 方法二:在菜单中依次选择【操作】/【智能升级】
方法三:右键点击防火墙托盘图标,在弹出菜单中选择【启动智能升级】 3)启动瑞星个人防火墙下载版程序
启动瑞星个人防火墙软件主程序有三种方法:
方法一:进入【开始】/【所有程序】/【瑞星个人防火墙】,选择【瑞星个人防火墙】即可启动。
方法二:用鼠标双击桌面上的【瑞星个人防火墙】快捷图标即可启动。方法三:用鼠标单击任务栏“快速启动”上的【瑞星个人防火墙】快捷图标
即可启动。
成功启动程序后的界面如下图3.5所示:
图3.5 主要界面元素
1、菜单栏:
用于进行菜单操作的窗口,包括【操作】、【设置】、【帮助】三个菜单。如图3.6示:
图3.6
2、操作按钮:
位于主界面右侧,包括【启动/停止保护】、【连接/断开网络】、【智能升级】、【查看日志】。如图3。7示:
图3.7 功能:停止防火墙的保护功能,执行此功能后,您计算机将不再受瑞星防火墙的保护已处于停止保护状态时,此按钮将变为【启用保护】;点击将重新启用防火墙的保护功能,您也可以通过菜单项【操作】/【停止保护】来执行此功能;将您的计算机完全与网络断开,就如同拔掉网线或是关掉Modem一样。其他人都不能访问您的计算机,但是您也不能再访问网络。这是在遇到频繁攻击时最为有效的应对方法;已经断开网络后,此项将变为【连接网络】,点击将恢复网络连接;您也可以通过菜单项【操作】/【断开网络】来执行此功能;启动智能升级程序对防火墙进行升级更新;您也可以通过菜单项【操作】/【智能升级】来执行此功能;启动日志显示程序;您也可能通过【操作】/【显示日志】来执行此
功能。
3、标签页:
位于主界面上部,分【工作状态】、【系统状态】、【游戏保护】、【安全资讯】、【漏洞扫描】、【启动选项】六个标签。如图3。8示:
图3。8
4、安全级别:
位于主界面右下角,拖动滑块到对应的安全级别,修改立即生效。
5、当前版本及更新日期:
位于主界面右上角,显示防火墙当前版本及更新日期。
6、规则设置
配置防火墙的过滤规则(如图3。9),包括: 黑名单:在黑名单中的计算机禁止与本机通讯
白名单:在白名单中的计算机对本地具有完全的访问权限
端口开关:允许或禁止端口中的通讯,可简单开关本机与远程的端口 可信区:通过可信区的设置,可以把局域网和互联网区分对待 IP规则:在IP层过滤的规则
访问规则:本机中访问网络的程序的过滤规则
图3。9 3.4.2 防火墙技术在校园网中应用
一、安装防火墙
防火墙技术在校园网安全建设中得到广泛的应用。由于防火墙是一种按某种规则对专网和互联网,或对互联网的一部分和其余部分之间的信息交换进行有条件的控制(包括隔离),从而阻断不希望发生的网络间通信的系统部署防火墙技术[10],构筑内外网之间的安全屏障,可以有效地将内部网与外部网隔离开来,保护校园网络不受未经授权的第三方侵入。
二、校园网防火墙系统的配置
假定校园网通过Cisco路由器与INTERNET相连。校园内的IP地址范围是确
定的,且有明确的闭和边界,它有一个C类的IP地址,有DNS、Email、WWW、FTP等服务器,可采用以下存取控制策略。
1)对进入CERNET主干网的存取控制
2)对网络中心资源主机的访问控制,网络中心的DNS、Email、FTP、WWW等服务器是重要的资源,要特别的保护,可对网络中心所在子网禁止,DNS,Email,WWW,FTP以外的一切服务。
3)对校外非法网址的访问,一般情况,一些传播非法信息的站点主要在校外,而这些站点的域名可能是已知的。为防止IP地址欺骗和盗用需为对网络内部人员访问Internet进行一定限制在连接内部网络的端口接收数据时进行IP地址和以太网地址检查,盗用IP地址的数据包将被丢弃,并记录有关信息;再连接 Internet 端接收数据时,如从外部网络收到一段假冒内部IP地址发出的报文,也应丢弃,并记录有关信息。防止IP地址被盗用的彻底解决办法是:代理服务器防火墙和捆绑IP地址和以太网地址,对非法访问的动态禁止一旦获得某个IP地址的访问是非法的,可立即更改路由器中的存取控制表,从而禁止其对外的非法访问。首先应在路由器和校园网的以太口预设控制组102,然后过滤掉来自非法地址的所有IP包。
结论
计算机网络的安全问题越来越受到人们的重视,一个安全的计算机网络系统的保护不仅和系统管理员的系统安全知识有关,而且和每个使用者的安全操作等都有关系。网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增,世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
防火墙不能完全解决网络安全的全部问题,如不能防范内部攻击等,因此还需要考虑其他技术的和非技术的因素,如身份鉴别,信息加密术,提高网络管理人员的安全意识等,总之,防火墙是网络安全的第一道重要的安全屏障,如何提高防火墙的防护能力并保证系统的高速高效运行,不断提高网络安全水平,这将是一个随着网络技术的发展而不断研究的课题。
致谢
本文是在指导老师胡楠老师的悉心教导下完成的。写论文的这段时间,老师渊博的学识,严谨的治学太多和细心指导,以及他给我的支持和鼓励使我终身难忘,我所取得的每一点成就都与导师的热心关怀和精心指导是分不开的,值此论文完成之际,特别向导师致以衷心的感谢各崇高的敬意。
本课题的完成过程中,本人还得到了同学们及其他各方面的支持和帮助,特别感谢致谢在一起愉快的度过大学生活的各位室友,正是由于你们的帮助和支持,我才能克服一个一个的困难和疑惑,直至本文的顺利完成。
在论文即将完成之际,我的心情无法平静,从开始进入课题到论文的顺利完成,有多少可敬的师长、同学、朋友给了我无言的帮助,在这里请接受我诚挚的谢意!我还要感谢培养我长大含辛茹苦的父母,谢谢你们!最后,我要向百忙之中抽时间对本文进行审阅,评议和参与本人论文答辩的各位老师表示感谢。
参考文献
[1]张斌,黑客与反黑客,北京邮电大学出版社,Pag56-75 [2]石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社,Pag267-283 [3]肖新峰,宋强,王立新等,TCP/IP协议与网络管理,北京清华大学出版社,Pag83-99 [4]李军,防火墙上台阶,信息网络安全2004年07期,Pag28—29 [5]陈爱民,计算机的安全与保密,北京电子工业出版社,pag35-42 [6]蒋建春,马恒太,任党恩等,网络安全入侵检测研究综述软件学报
[7]石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社,Pag70-104 [8]老聃,安全网关—网络边界防护的利器,信息安全与通信保密,2004年08期75 [9]陈平,何庆等主编,电脑2003合订本,西南师范大学出版社,2004年1月 [10] 张颖,刘军,王磊,计算机网络安全的现状及解决方法[N]电脑商情报 ,2007年1月
第五篇:浅析计算机网络安全和防火墙技术论文
娄底职业技术学院计算机网络专业
摘 要
随着时代的发展,Internet日益普及,网络已经成为信息资源的海洋,给人们带来了极大的方便。但由于Internet是一个开放的,无控制机构的网络,经常会受到计算机病毒、黑客的侵袭。它可使计算机和计算机网络数据和文件丢失,系统瘫痪。因此,计算机网络系统安全问题必须放在首位。作为保护局域子网的一种有效手段,防火墙技术备受睐。
本文主要阐述了网络安全技术所要受到的各方面威胁以及自身存在的一些缺陷,所谓知己知彼,百战不殆。只有了解了网络安全存在的内忧外患,才能更好的改善网络安全技术,发展网络安全技术。然后主要阐述防火墙在网络安全中起到的巨大的作用,防火墙的优缺点及各种类型防火墙的使用和效果。
计算机网络技术的在飞速发展中,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或侵犯的可能性,网络信息的安全性变得日益重要,只有熟悉了各种对网络安全的威胁,熟悉各种保护网路安全的技术,我们才能更好的保护计算机和信息的安全。
关键字:计算机网络;网络安全;防范措施;防火墙技术
娄底职业技术学院计算机网络专业
Abstract With the development of The Times, the Internet has become increasingly popular and network information resources of the sea, and bring great convenience。But because of the Internet is an open, without control network, computer virus, often by hackers。It can make the computer and the computer network, the system files and data loss。Therefore, the computer network system security problems must be given priority。As the protection of local subnet an effective means, firewall technology。
This article mainly elaborated by network security technology to every aspect of the threat and its existence, some defects, so-called awareness。The existence of the 1930's and network security, can improve network security technology, the development of network security technology。And then expounds mainly firewall in network security of huge role plays, advantages and disadvantages of various types of firewall use and effect of the firewall。
The computer network technology, especially in the rapid development of the Internet is becoming more and more widely applied in brought an unprecedented huge amounts of information, network of openness and freedom in the private information and data were damaged or infringed, the possibility of network information security is becoming increasingly important, only familiar to all kinds of network security threats, familiar with various protection network security technology, we can better protect the computer and information security。
Key words: Computer network, Network security, The prevention measures, Firewall technology
II 浅析计算机网络安全和防火墙技术
目录
摘 要................................................I Abstract.............................................II 引言.................................................1 第一章 网络安全概述.................................2 1.1 计算机网络安全的含义..........................2 1.2 网络信息安全的主要威胁........................2 1.2.1 自然威胁..................................2 1.2.2 人为威胁—黑客攻击与计算机病毒............3 1.3 计算机网络中的安全缺陷及产生原因..............4 1.4 影响计算机网络安全的因素......................5 第二章 计算机网络安全防范策略.......................6 2.1 防火墙技术....................................6 2.2 数据加密与用户授权访问控制技术................9 2.3 入侵检测技术.................................10 2.4 防病毒技术...................................11 2.5 安全管理队伍的建设...........................11 第三章 防火墙技术..................................12 3.1 防火墙的定义.................................12 3.2 防火墙的功能.................................12 3.2.1 防火墙是网络安全的屏障...................12 3.2.2 防火墙的种类.............................13 3.3 防火墙的技术原理.............................13 3.4 防火墙的应用.................................15 3.4.1 个人防火墙的应用.........................15 3.4.2 防火墙技术在校园网中应用.................20 结论................................................22
III 娄底职业技术学院计算机网络专业
致谢................................................23 参考文献.............................................24 IV 浅析计算机网络安全和防火墙技术
引言
近年来,随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,计算机网络的安全性变得日益重要起来,由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素,致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击【1】。
为确保信息的安全与网络畅通,研究计算机网络的安全与防护措施已迫在眉捷,但网络安全问题至今仍没有能够引起足够的重视,更多的用户认为网络安全问题离自己尚远,这一点从大约有40%以上的用户特别是企业级用户没有安装防火墙(Firewall)便可以窥见一斑,而所有的问题都在向大家证明一个事实,大多数的黑客入侵事件都是由于未能正确安装防火墙而引发,所以防火墙技术应当引起我们的注意和重视。
本文主要研究网络安全的缺陷原由及网络安全技术的原理和其他技术,如防火墙技术对网络安全起到的不可忽视的影响。
娄底职业技术学院计算机网络专业
第一章网络安全概述
1.1 计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
1.2 网络信息安全的主要威胁
网络安全所面临的威胁来自很多方面,并且随着时问的变化而变化。这些威胁可以宏观地分为自然威胁和人为威胁。
1.2.1 自然威胁
自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备的自然老化等。这些无目的的事件,有时会直接威胁网络的安全,影响信息的存储媒体。
浅析计算机网络安全和防火墙技术
1.2.2 人为威胁—黑客攻击与计算机病毒
人为威胁就是说对网络的人为攻击。这些攻击手段都是通过寻找系统的弱点【2】,以便达到破坏、欺骗、窃取数据等目的,造成经济上和政治上不可估量的损失。网络安全的人为威胁主要分为以下几种:
网络缺陷
Intemet由于它的开放性迅速在全球范围内普及,但也正是因为开放性使其保护信息安全存在先天不足。Internet最初的设计考虑主要是考虑资源共享,基本没有考虑安全问题,缺乏相应的安全监督机制。 黑客攻击
自1998年后,网上的黑客越来越多,也越来越猖獗;与此同时黑客技术逐渐被越来越多的人掌握现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段,使得黑客攻击的隐蔽性好,“杀伤力”强,这是网络安全的主要威胁之一。
各种病毒
病毒时时刻刻威胁着整个互联网。像Nimda和CodeRed的爆发更是具有深远的影响,促使人们不得不在网络的各个环节考虑对于各种病毒的检测防治,对病毒彻底防御的重要性毋庸置疑。
管理的欠缺及资源滥用
很多上了互联网的企业缺乏对于网络安全的认识,管理上存在很多漏洞,特别是国内的企业,只是提供了接入Internet的通道,对于网络上黑客的攻击缺乏基本的应对措施,同时企业内部普遍存在资源滥用现象,这是造成网络安全问题的根本原因。软件的漏洞和后门:随着CPU的频率越来越高,软件的规模越来越大,软件系统中的漏洞也不可避免的存在,强大如微软所开发的Windows也存在。各种各样的安全漏洞和“后门”,这是网络安全的主要威胁之一。
网络内部用户的误操作和恶意行为
对于来自网络内部的攻击,主流的网络安全产品防火墙基本无能为力,这类攻击及其误操作行为需要网络信息 3 娄底职业技术学院计算机网络专业
审计、IDS等主要针对内部网络安全的安全产品来抵御。 网络资源滥用
网络有了安全保证和带宽管理,依然不能防止员工对网络资源的滥用。等行为极大地降低了员工的工作效率。管理层希望员工更加有效地使用互联网,尽量避免网络对工作带来负面影响。 信息泄漏
恶意、过失的不合理信息上传和发布,可能会造成敏感信息泄漏、有害信息扩散,危及社会、国家、体和个人利益。更有基于竞争需要,利用技术手段对目标机信息资源进行窃取。在众多人为威胁中来自用户和恶意软件即计算机病毒的非法侵入严重,计算机病毒是利用程序干扰破坏系统正常工作的一种手段,它的产生和蔓延给信息系统的可靠性和安全性带来严重的威胁和巨大的损失。
1.3 计算机网络中的安全缺陷及产生原因
网络安全缺陷产生的原因主要有:
第一TCP/IP的脆弱性。因特网的基石是TCP/IP协议【3】,不幸的是该协议对于网络的安全性考虑得并不多。并且,由于TCP/IP协议是公布于众的,如果人们对TCP/IP很熟悉,就可以利用它的安全缺陷来实施网络攻击。
第二,网络结构的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器重重转发,如果攻击者利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包。
第三,易被窃听。由于因特网上大多数数据流都没有加密,因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。
第四,缺乏安全意识。虽然网络中设置了许多安全保护屏障,但人们普遍缺乏安全意识,从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证,进行直接的PPP连接从而避开了防火墙的保护。浅析计算机网络安全和防火墙技术
1.4 影响计算机网络安全的因素
①网络资源的共享性。资源共享是计算机网络应用的主要目的,但这为系统安全的攻击者利用共享的资源进行破坏提供了机会。随着互联网需求的日益增长,外部服务请求不可能做到完全隔离,攻击者利用服务请求的机会很容易获取网络数据包。
②网络的开放性。网上的任何一个用户很方便访问互联网上的信息资源,从而很容易获取到一个企业、单位以及个人的敏感性信息。
③网络操作系统的漏洞。网络操作系统是网络协议和网络服务得以实现的最终载体之一,它不仅负责网络硬件设备的接口封装,同时还提供网络通信所需要的各种协议和服务的程序实现。由于网络协议实现的复杂性,决定了操作系统必然存在各种实现过程所带来的缺陷和漏洞。
④网络系统设计的缺陷。网络设计是指拓扑结构的设计和各种网络设备的选择等。网络设备、网络协议、网络操作系统等都会直接带来安全隐患。合理的网络设计在节约资源的情况下,还可以提供较好的安全性。不合理的网络设计则会成为网络的安全威胁。
⑤恶意攻击。就是人们常见的黑客攻击及网络病毒,这是最难防范的网络安全威胁。随着电脑教育的大众化,这类攻击也是越来越多,影响越来越大。娄底职业技术学院计算机网络专业
第二章计算机网络安全防范策略
计算机网络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,任何一个单独的组件都无法确保网络信息的安全性。目前广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密技术、入侵检测技术、防病毒技术等,以下就此几项技术分别进行分析。
2.1 防火墙技术
防火墙网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。当一个网络接上Internet之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。防火墙能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证)配置在防火墙上。其次对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。再次防止内部信息的外泄。利用防火墙对内部网络的划分,可实现内部网重点网段的隔离【4】,从而降低了局部重点或敏感网络安全问题对全局网络造成的影响。
为了让大家更好地使用防火墙,我们从反面列举4个有代表性的失败案例。
例1:未制定完整的企业安全策略 浅析计算机网络安全和防火墙技术
网络环境:某中型企业购买了适合自己网络特点的防火墙,刚投入使用后,发现以前局域网中肆虐横行的蠕虫病毒不见了,企业网站遭受拒绝服务攻击的次数也大大减少了,为此,公司领导特意表扬了负责防火墙安装实施的信息部。
该企业网络环境如图2.1所示:
图2.1 该企业内部网络的核心交换机是带路由模块的三层交换机,出口通过路由器和ISP连接。内部网划分为5个VLAN,VLAN
1、VLAN 2和VLAN 3分配给不同的部门使用,不同的VLAN之间根据部门级别设置访问权限;VLAN 4分配给交换机出口地址和路由器使用;VLAN 5分配给公共服务器使用。在没有加入防火墙之前,各个VLAN中的PC机能够通过交换机和路由器不受限制地访问Internet。加入防火墙后,给防火墙分配一个VLAN 4中的空闲IP地址,并把网关指向路由器;将VLAN 5接入到防火墙的一个网口上。这样,防火墙就把整个网络分为3个区域: 内部网、公共服务器区和外部网,三者之间的通信受到防火墙安全规则的限制。
问题描述:防火墙投入运行后,实施了一套较为严格的安全规则,导致公司员工无法使用QQ聊天软件,于是没过多久就有员工自己拨号上网,导致感染了特洛依木马 娄底职业技术学院计算机网络专业
和蠕虫等病毒,并立刻在公司内部局域网中传播开来,造成内部网大面积瘫痪。
问题分析:我们知道,防火墙作为一种保护网络安全的设备,必须部署在受保护网络的边界处,只有这样防火墙才能控制所有出入网络的数据通信,达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一,有很多出入口,那么只部署一台防火墙是不够的。在本案例中,防火墙投入使用后,没有禁止私自拨号上网行为,使得许多PC机通过电话线和Internet相连,导致网络边界不惟一,入侵者可以通过攻击这些PC机然后进一步攻击内部网络,从而成功地避开了防火墙。
解决办法:根据自己企业网的特点,制定一整套安全策略,并彻底地贯彻实施。比如说,制定一套安全管理规章制度,严禁员工私自拨号上网;同时封掉拨号上网的电话号码,并购买检测拨号上网的软件,这样从管理和技术上杜绝出现网络边界不惟一的情况发生。另外,考虑到企业员工的需求,可以在防火墙上添加按照时间段生效的安全规则,在非工作时间打开QQ使用的TCP/UDP端口,使得企业员工可以在工余时间使用QQ聊天软件。
例2:未考虑与其他安全产品的配合使用 问题描述:某公司购买了防火墙后,紧接着又购买了漏洞扫描和IDS(入侵检测系统)产品。当系统管理员利用IDS发现入侵行为后,必须每次都要手工调整防火墙安全策略,使管理员工作量剧增,而且经常调整安全策略,也给整个网络带来不良影响。
问题分析:选购防火墙时未充分考虑到与其他安全产品如IDS的联动功能,导致不能最大程度地发挥安全系统的作用。
解决办法:购买防火墙前应查看企业网是否安装了漏洞扫描或IDS等其他安全产品,以及具体产品名称和型号,然后确定所要购买的防火墙是否有联动功能(即是否支持其他安全产品,尤其是IDS产品),支持的是哪些品牌和型号的产品,是否与已有的安全产品名称相符,如果不符,最好不要选用,而选择能同已有安全产品联动的防火墙。这样,当IDS发现入侵行为后,在通知管理员的同 浅析计算机网络安全和防火墙技术
时发送消息给防火墙,由防火墙自动添加相关规则,把入侵者拒之门外。
例3:未经常维护升级防火墙 问题描述:某政府机构购置防火墙后已安全运行一年多,由于该机构网络结构一直很稳定,没有什么变化,各种应用也运行稳定,因此管理员逐渐放松了对防火墙的管理,只要网络一直保持畅通即可,不再关心防火墙的规则是否需要调整,软件是否需要升级。而且由于该机构处于政府专网内,与Internet物理隔离,防火墙无法实现在线升级。因此该机构的防火墙软件版本一直还是购买时的旧版本,虽然管理员一直都收到防火墙厂家通过电子邮件发来的软件升级包,但从未手工升级过。在一次全球范围的蠕虫病毒迅速蔓延事件中,政府专网也受到蠕虫病毒的感染,该机构防火墙因为没有及时升级,无法抵御这种蠕虫病毒的攻击,造成整个机构的内部网大面积受感染,网络陷于瘫痪之中。
问题分析:安全与入侵永远是一对矛盾。防火墙软件作为一种安全工具,必须不断地升级与更新才能应付不断发展的入侵手段,过时的防护盾牌是无法抵挡最先进的长矛的。作为安全管理员来说,应当时刻留心厂家发布的升级包,及时给防火墙打上最新的补丁。
解决办法:及时维护防火墙,当本机构发生人员变动、网络调整和应用变化时,要及时调整防火墙的安全规则,及时升级防火墙。
从以上三个案例我们可以得出一些结论:防火墙只是保证安全的一种技术手段,要想真正实现安全,安全策略是核心问题。保护网络安全不仅仅是防火墙一种产品,只有将多种安全产品无缝地结合起来,充分利用它们各自的优点,才能最大限度地保证网络安全。而保护网络安全是动态的过程,防火墙需要积极地维护和升级。
2.2
数据加密与用户授权访问控制技术
与防火墙相比,数据加密与用户授权访问控制技术比 娄底职业技术学院计算机网络专业
较灵活,更加适用于开放的网络。用户授权访问控制主要用于对静态信息的保护,需要系统级别的支持,一般在操作系统中实现。数据加密主要用于对动态信息的保护。对动态数据的攻击分为主动攻击和被动攻击。对于主动攻击,虽无法避免,但却可以有效地检测;而对于被动攻击,虽无法检测,但却可以避免,实现这一切的基础就是数据加密。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法,这种变换是对称密钥算法”。这样的密钥必须秘密保管,只能为授权用户所知,授权用户既可以用该密钥加密信急,也可以用该密钥解密信息,DES是对称加密算法中最具代表性的算法。在公钥加密算法中,公钥是公开的,任何人可以用公钥加密信息,再将密文发送给私钥拥有者。私钥是保密的,用于解密其接收的公钥加密过的信息【5】。典型的公钥加密算法~nRSA是目前使用比较广泛的加密算法。
2.3 入侵检测技术
入侵检测系统(IntrusionDetectionSystem,IDS)是从多种计算机系统及网络系统中收集信息,再通过此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击:在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵【6】。
入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术的功能主要体现在以下方面:
1)分析用户及系统活动,查找非法用户和合法用户的越权操作;
2)检测系统配置的正确性和安全漏洞,并提示管理员修 浅析计算机网络安全和防火墙技术
3)4)5)6)7)补漏洞;
识别反映已知进攻的活动模式并向相关人上报警; 对异常行为模式的统计分析;
能够实时地对检测到的入侵行为进行反应; 评估重要系统和数据文件的完整性; 可以发现新的攻击模式;
2.4 防病毒技术
随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台Pc上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除【7】。
2.5 安全管理队伍的建设
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。网络内使用的IP地址作为一种资源以前一直为某些管理人员所忽略,为了更好地进行安全管理工作,应该对本网内的IP地址资源统一管理、统一分配。对于盗用IP资源的用户必须依据管理制度严肃处理。只有共同努力,才能使计算机网络的安全可靠得到保障,从而使广大网络用户的利益得到保障。娄底职业技术学院计算机网络专业
第三章防火墙技术
3.1 防火墙的定义
防火墙是指设置在不同网络或网络安全域之间信息的唯一出入口,能根据网络的安全政策控制(允许拒绝监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
Internet防火墙是一个或一组系统,它能增强机构内部网络的安全性,用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的设备不被破坏,防止内部网络的敏感数据被窃取,防火墙系统还决定了哪些内部服务可以被外界访问,外界的哪些人可以访问内部的服务,以及哪些外部服务何时可以被内部人员访问。要使一个防火墙有效,所有来自和去往Internet的信息都必须经过防火墙并接受检查。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。但是,防火墙系统一旦被攻击突破或迂回绕过,就不能提供任何保护了。
3.2 防火墙的功能
3.2.1 防火墙是网络安全的屏障
防火墙(作为阻塞点,控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
防火墙可以强化网络安全策略,通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令加密身份认证审计等)配置在防火墙上,对网络存取和访问进行监控审计:所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据,当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。防止内 浅析计算机网络安全和防火墙技术
部信息的外泄,通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
3.2.2 防火墙的种类
防火墙技术可根据防范的方式和侧重点的不同,总体来讲可分为二大类:分组过滤,应用代理。
分组过滤(Packetfiltering);作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号,协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。
应用代理(ApplicationProxy):也叫应用网关(ApplicationGateway), 它作用在应用层,其特点是完全 “ 阻隔 ” 了网络通信流通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用,实际中的应用网关通常由专用工作站实现【8】。
3.3 防火墙的技术原理
目前,防火墙系统的工作原理因实现技术不同,大致可分为三种:
(1)包过滤技术
包过滤技术是一种基于网络层的防火墙技术。根据设 置好的过滤规则,通过检查IP数据包来确定是否该数据包通过。而那些不符合规定的IP地址会被防火墙过滤掉,由此保证网络系统的安全。该技术通常可以过滤基于某些或所有下列信息组的IP包:源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口。包过滤技术实际上是一种基于路由器的技术,其最大优点就是价格便宜,实现逻辑简单便于安装和使用。
缺点:1)过滤规则难以配置和测试。2)包过滤只访问网络层和传输层的信息,访问信息有限,对网络更高协议层的信息无理解能力。3)对一些协议,如UDP和RPC难以有效的过滤。娄底职业技术学院计算机网络专业
(2)代理技术
代理技术是与包过滤技术完全不同的另一种防火墙技术。其主要思想就是在两个网络之间设置一个“中间检查站”,两边的网络应用可以通过这个检查站相互通信,但是它们之间不能越过它直接通信。这个“中间检查站”就是代理服务器,它运行在两个网络之间,对网络之间的每一个请求进行检查。当代理服务器接收到用户请求后,会检查用户请求合法性。若合法,则把请求转发到真实的服务器上,并将答复再转发给用户。代理服务器是针对某种应用服务而写的,工作在应用层。
优点:它将内部用户和外界隔离开来,使得从外面只能看到代理服务器而看不到任何内部资源。与包过滤技术相比,代理技术是一种更安全的技术【9】。
缺点:在应用支持方面存在不足,执行速度较慢。(3)状态监视技术 这是第三代防火墙技术,集成了前两者的优点。能对网络通信的各层实行检测。同包过滤技术一样,它能够检测通过IP地址、端口号以及TCP标记,过滤进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接,不依靠与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通过己知合法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。
状态监视器的监视模块支持多种协议和应用程序,可方便地实现应用和服务的扩充。此外,它还可监测RPC和UDP端口信息,而包过滤和代理都不支持此类端口。这样,通过对各层进行监测,状态监视器实现网络安全的目的。目前,多使用状态监测防火墙,它对用户透明,在OSI最高层上加密数据,而无需修改客户端程序,也无需对每个需在防火墙上运行的服务额外增加一个代理。
要想建立一个真正行之有效的安全的计算机网络,仅使用防火墙还是不够,在实际的应用中,防火墙常与其它安全措施,比如加密技术、防病毒技术等综合应用,才起到防御的最大化的效果。浅析计算机网络安全和防火墙技术
3.4 防火墙的应用
3.4.1 个人防火墙的应用
瑞星个人防火墙的应用 1)安装
第一步启动安装程序。
当把瑞星个人防火墙下载版安装程序保存到您电脑中的指定目录后,找到该目录,双击运行安装程序,就可以进行瑞星个人防火墙下载版的安装了。
第二步完成安装后,如图3.1:
图3.1 第三步输入产品序列号和用户ID。
启动个人防火墙,当出现如图3.2下所示的窗口后,在相应位置输入您购买获得的产品序列号和用户ID,点击“确定”,通过验证后则会提示“您的瑞星个人防火墙现在可以正常使用”。
娄底职业技术学院计算机网络专业
图3.2 常见问题:不输入产品序列号和用户ID,产品将无法升级,防火墙保护功能将全部失效,您的计算机将无法抵御黑客攻击。
2)升级
第一步网络配置:
•打开防火墙主程序 •在菜单中依次选择【设置】/【设置网络】,打开【网络设置】窗口,如图3.3 图3.3 1。设定网络连接方式,如果设定“通过代理服务器访问网络”,还需要输入代理服务器IP、端口、身份验证信息。
2。您可以选中【使用安全升级模式】,确保升级期间阻止新的网络连接 浅析计算机网络安全和防火墙技术
3。点击【确定】按钮完成设置
小提示:
1。如果您已经可以浏览网页,说明网络设置已经配置好了,这里直接使用默认设置即可。
2。如果您不使用拨号方式上网,将不会看到界面中【使用拨号网络连接】的选项以及相关设置。
3。请确保此步设置正确,否则可能无法完成智能升级。
第二步:智能升级
完成网络配置后,进行智能升级的操作方法:
方法一:点击主界面右侧的【智能升级】按钮,图3.4示:
图3.4 方法二:在菜单中依次选择【操作】/【智能升级】 方法三:右键点击防火墙托盘图标,在弹出菜单中选择【启动智能升级】
3)启动瑞星个人防火墙下载版程序
启动瑞星个人防火墙软件主程序有三种方法:
方法一:进入【开始】/【所有程序】/【瑞星个人防火墙】,选择【瑞星个人防火墙】即可启动。
方法二:用鼠标双击桌面上的【瑞星个人防火墙】快捷图标即可启动。
方法三:用鼠标单击任务栏“快速启动”上的【瑞星 娄底职业技术学院计算机网络专业
个人防火墙】快捷图标即可启动。
成功启动程序后的界面如下图3.5所示:
图3.5 主要界面元素
1、菜单栏:
用于进行菜单操作的窗口,包括【操作】、【设置】、【帮助】三个菜单。如图3.6示:
图3.6
2、操作按钮:
位于主界面右侧,包括【启动/停止保护】、【连接/断开网络】、【智能升级】、【查看日志】。如图3。7示:
图3.7 功能:停止防火墙的保护功能,执行此功能后,您计 浅析计算机网络安全和防火墙技术
算机将不再受瑞星防火墙的保护已处于停止保护状态时,此按钮将变为【启用保护】;点击将重新启用防火墙的保护功能,您也可以通过菜单项【操作】/【停止保护】来执行此功能;将您的计算机完全与网络断开,就如同拔掉网线或是关掉Modem一样。其他人都不能访问您的计算机,但是您也不能再访问网络。这是在遇到频繁攻击时最为有效的应对方法;已经断开网络后,此项将变为【连接网络】,点击将恢复网络连接;您也可以通过菜单项【操作】/【断开网络】来执行此功能;启动智能升级程序对防火墙进行升级更新;您也可以通过菜单项【操作】/【智能升级】来执行此功能;启动日志显示程序;您也可能通过【操作】/【显示日志】来执行此功能。
3、标签页:
位于主界面上部,分【工作状态】、【系统状态】、【游戏保护】、【安全资讯】、【漏洞扫描】、【启动选项】六个标签。如图3。8示:
图3。8
4、安全级别: 位于主界面右下角,拖动滑块到对应的安全级别,修改立即生效。
5、当前版本及更新日期:
位于主界面右上角,显示防火墙当前版本及更新日期。
6、规则设置
配置防火墙的过滤规则(如图3。9),包括: 黑名单:在黑名单中的计算机禁止与本机通讯 白名单:在白名单中的计算机对本地具有完全的访问权限
端口开关:允许或禁止端口中的通讯,可简单开关本机与远程的端口 娄底职业技术学院计算机网络专业
可信区:通过可信区的设置,可以把局域网和互联网区分对待
IP规则:在IP层过滤的规则
访问规则:本机中访问网络的程序的过滤规则
图3。9 3.4.2 防火墙技术在校园网中应用
一、安装防火墙
防火墙技术在校园网安全建设中得到广泛的应用。由于防火墙是一种按某种规则对专网和互联网,或对互联网的一部分和其余部分之间的信息交换进行有条件的控制(包括隔离),从而阻断不希望发生的网络间通信的系统部署防火墙技术[10],构筑内外网之间的安全屏障,可以有效地将内部网与外部网隔离开来,保护校园网络不受未经授权的第三方侵入。
二、校园网防火墙系统的配置
假定校园网通过Cisco路由器与INTERNET相连。校园内的IP地址范围是确定的,且有明确的闭和边界,它有一个C类的IP地址,有DNS、Email、WWW、FTP等服务器,可采用以下存取控制策略。
1)对进入CERNET主干网的存取控制
2)对网络中心资源主机的访问控制,网络中心的DNS、Email、FTP、WWW等服务器是重要的资源,要特别的保护,可对网络中心所在子网禁止,DNS,Email,WWW,FTP 浅析计算机网络安全和防火墙技术
以外的一切服务。
3)对校外非法网址的访问,一般情况,一些传播非法信息的站点主要在校外,而这些站点的域名可能是已知的。为防止IP地址欺骗和盗用需为对网络内部人员访问Internet进行一定限制在连接内部网络的端口接收数据时进行IP地址和以太网地址检查,盗用IP地址的数据包将被丢弃,并记录有关信息;再连接 Internet 端接收数据时,如从外部网络收到一段假冒内部IP地址发出的报文,也应丢弃,并记录有关信息。防止IP地址被盗用的彻底解决办法是:代理服务器防火墙和捆绑IP地址和以太网地址,对非法访问的动态禁止一旦获得某个IP地址的访问是非法的,可立即更改路由器中的存取控制表,从而禁止其对外的非法访问。首先应在路由器和校园网的以太口预设控制组102,然后过滤掉来自非法地址的所有IP包。娄底职业技术学院计算机网络专业
结论
计算机网络的安全问题越来越受到人们的重视,一个安全的计算机网络系统的保护不仅和系统管理员的系统安全知识有关,而且和每个使用者的安全操作等都有关系。网络安全是动态的,新的Internet黑客站点、病毒与安全技术每日剧增,世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
防火墙不能完全解决网络安全的全部问题,如不能防范内部攻击等,因此还需要考虑其他技术的和非技术的因素,如身份鉴别,信息加密术,提高网络管理人员的安全意识等,总之,防火墙是网络安全的第一道重要的安全屏障,如何提高防火墙的防护能力并保证系统的高速高效运行,不断提高网络安全水平,这将是一个随着网络技术的发展而不断研究的课题。浅析计算机网络安全和防火墙技术
致谢
本文是在指导老师胡楠老师的悉心教导下完成的。写论文的这段时间,老师渊博的学识,严谨的治学太多和细心指导,以及他给我的支持和鼓励使我终身难忘,我所取得的每一点成就都与导师的热心关怀和精心指导是分不开的,值此论文完成之际,特别向导师致以衷心的感谢各崇高的敬意。
本课题的完成过程中,本人还得到了同学们及其他各方面的支持和帮助,特别感谢致谢在一起愉快的度过大学生活的各位室友,正是由于你们的帮助和支持,我才能克服一个一个的困难和疑惑,直至本文的顺利完成。
在论文即将完成之际,我的心情无法平静,从开始进入课题到论文的顺利完成,有多少可敬的师长、同学、朋友给了我无言的帮助,在这里请接受我诚挚的谢意!我还要感谢培养我长大含辛茹苦的父母,谢谢你们!最后,我要向百忙之中抽时间对本文进行审阅,评议和参与本人论文答辩的各位老师表示感谢。
娄底职业技术学院计算机网络专业
参考文献
[1]张斌,黑客与反黑客,北京邮电大学出版社,Pag56-75 [2]石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社,Pag267-283 [3]肖新峰,宋强,王立新等,TCP/IP协议与网络管理,北京清华大学出版社,Pag83-99 [4]李军,防火墙上台阶,信息网络安全2004年07期,Pag28—29 [5]陈爱民,计算机的安全与保密,北京电子工业出版社,pag35-42 [6]蒋建春,马恒太,任党恩等,网络安全入侵检测研究综述软件学报 [7]石淑华,池瑞楠,计算机网络安全技术(第二版),北京人民邮电出版社,Pag70-104 [8]老聃,安全网关—网络边界防护的利器,信息安全与通信保密,2004年08期75
[9]陈平,何庆等主编,电脑2003合订本,西南师范大学出版社,2004年1月
[10] 张颖,刘军,王磊,计算机网络安全的现状及解决方法[N]电脑商情报 ,2007年1月
![下载云计算下网络安全技术实现和路径研究论文[合集五篇]word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 