網(wǎng)絡(luò)安全技術(shù)的論文有哪些
最近有網(wǎng)友想了解下網(wǎng)絡(luò)安全技術(shù)的相關(guān)論文,所以學(xué)習(xí)啦小編就整理了相關(guān)資料分享給大家,具體內(nèi)容如下.希望大家參考參考!!!
網(wǎng)絡(luò)安全技術(shù)的論文一:
一、引言
21世紀(jì)全世界的計算機都將通過Internet聯(lián)到一起,信息安全的內(nèi)涵也就發(fā)生了根本的變化.它不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領(lǐng)域變成了無處不在。要想真正解決網(wǎng)絡(luò)安全問題,就得要從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)、產(chǎn)業(yè)、政策等方面來發(fā)展它。網(wǎng)絡(luò)安全是一個系統(tǒng)的概念,有效的安全策略或方案的制定,是網(wǎng)絡(luò)信息安全的首要目標(biāo)。運用多種網(wǎng)絡(luò)安全技術(shù)來實現(xiàn)信息傳遞的安全與可靠是維護網(wǎng)絡(luò)安全的主要措施。
二、影響網(wǎng)絡(luò)安全的主要因素
(一)計算機病毒
計算機病毒的含義是,編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù),影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。它主要有程序性、傳染性、潛伏性、可觸發(fā)性這四個特點。
(二)網(wǎng)絡(luò)資源共享性因素
資源共享是計算機網(wǎng)絡(luò)應(yīng)用的最主要的目的,但這又為系統(tǒng)安全的攻擊者利用共享的資源進行破壞提供了機會。隨著聯(lián)網(wǎng)需求的日益增長,外部服務(wù)請求不可能做到完全的隔離,所以攻擊者就利用服務(wù)請求的機會很容易獲取網(wǎng)絡(luò)數(shù)據(jù)包。
(三)網(wǎng)絡(luò)開放性因素
網(wǎng)上的任何一個用戶很方便訪問互聯(lián)網(wǎng)上的信息資源,從而很容易獲取到一個企業(yè)、單位以及個人的敏感性信息。
三、網(wǎng)絡(luò)安全的主要技術(shù)
網(wǎng)絡(luò)安全的技術(shù)是指致力于解決諸如如何有效進行介入控制,以及何如保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段。本論文主要介紹兩種網(wǎng)絡(luò)安全技術(shù):防火墻技術(shù)和安全審計系統(tǒng)。
(一)防火墻技術(shù)
網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互連設(shè)備。它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運行狀態(tài)。目前的防火墻產(chǎn)品主要有包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機防火墻等類型。
包過濾型防火墻是建立在路由器上,在服務(wù)器或計算機上也可以安裝包過濾防火墻軟件。包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,與網(wǎng)絡(luò)管理員預(yù)先設(shè)定的訪問控制表進行比較,確定是否符合預(yù)定義好的安全策略并決定數(shù)據(jù)包的放行或丟棄。封包過濾型控制方式最大的好處是效率高,但卻有幾個嚴(yán)重缺點:管理復(fù)雜,無法對連線作完全的控制,規(guī)則設(shè)置的先后順序會嚴(yán)重影響結(jié)果,不易維護以及記錄功能少。
代理服務(wù)型防火墻,代表某個專用的網(wǎng)絡(luò)與互聯(lián)網(wǎng)進行通訊的防火墻,類似在股東會上某人以你的名義代理你來投票。當(dāng)你將瀏覽器配置成運用代理功能時,防火墻就將你的瀏覽器的請求轉(zhuǎn)給互聯(lián)網(wǎng);當(dāng)互聯(lián)網(wǎng)返回響應(yīng)時,代理服務(wù)器再把它轉(zhuǎn)給你的瀏覽器。代理服務(wù)器也用于頁面的緩存,代理服務(wù)器在從互聯(lián)網(wǎng)上下載特定頁面前先從緩存器取出這些頁面。內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間不存在直接連接。代理服務(wù)器型防火墻的核心,是運行于防火墻主機上的代理服務(wù)器進程,實質(zhì)上是為特定網(wǎng)絡(luò)應(yīng)用連接企業(yè)內(nèi)部網(wǎng)與Internet的網(wǎng)關(guān)。代理服務(wù)器型防火墻的缺點是可能影響網(wǎng)絡(luò)的性能,對用戶不透明,且對每一種TCP/IP服務(wù)都要設(shè)計一個代理模塊,建立對應(yīng)的網(wǎng)關(guān),實現(xiàn)起來比較復(fù)雜。代理型防火墻的優(yōu)點是安全性較高,代理服務(wù)器提供了詳細的日志和審計功能,大大提高了網(wǎng)絡(luò)的安全性,也為改進現(xiàn)有軟件的安全性能提供了可能。
監(jiān)測型防火墻技術(shù)超越了最初的防火墻的網(wǎng)絡(luò)層定義以及只位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間接口的位置定義。監(jiān)測型防火墻產(chǎn)品帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強的防范作用。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。基于對系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù)。
(二)安全審計系統(tǒng)
安全審計系統(tǒng)是在一個特定的企事業(yè)單位的網(wǎng)絡(luò)環(huán)境下,為了保障業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)信息數(shù)據(jù)不受來自用戶的破壞、泄密、竊取,而運用各種技術(shù)手段實時監(jiān)控網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)行為、通信內(nèi)容,以便集中收集、分析、報警、處理的一種技術(shù)手段。
1、安全審計系統(tǒng)的必要性
防火墻這種網(wǎng)絡(luò)安全技術(shù),可實現(xiàn)對網(wǎng)絡(luò)異常行為的管理和監(jiān)測,如網(wǎng)絡(luò)連接和訪問的合法性進行控制、監(jiān)測網(wǎng)絡(luò)攻擊事件等,但是不能監(jiān)控網(wǎng)絡(luò)內(nèi)容和已經(jīng)授權(quán)的正常內(nèi)部網(wǎng)絡(luò)訪問行為,因此對正常網(wǎng)絡(luò)訪問行為導(dǎo)致的信息泄密事件、網(wǎng)絡(luò)資源濫用行為(即時通訊、論壇、在線視頻、P2P下載、網(wǎng)絡(luò)游戲等)也無能為力,也難以實現(xiàn)針對內(nèi)容、行為的監(jiān)控管理及安全事件的追查取證。
2、安全審計系統(tǒng)的特點
(1)細粒度的網(wǎng)絡(luò)內(nèi)容審計 安全審計系統(tǒng)可對系統(tǒng)訪問及操作、網(wǎng)站訪問、郵件收發(fā)、遠程終端訪問、數(shù)據(jù)庫訪問、論壇發(fā)帖等進行關(guān)鍵信息監(jiān)測、還原。
(2)全面的網(wǎng)絡(luò)行為審計 安全審計系統(tǒng)可對網(wǎng)絡(luò)行為,如網(wǎng)站訪問、郵件收發(fā)、數(shù)據(jù)庫訪問、遠程終端訪問、即時通訊、論壇、在線視頻、P2P下載、網(wǎng)絡(luò)游戲等,提供全面的行為監(jiān)控,方便事后追查取證。
(3)綜合流量分析 安全審計系統(tǒng)可對網(wǎng)絡(luò)流量進行綜合分析,為網(wǎng)絡(luò)帶寬資源的管理提供可靠的策略支持。
四、結(jié)束語
為了盡最大可能地防范黑客、病毒等對網(wǎng)絡(luò)和系統(tǒng)的破壞,需要采用防火墻和審計系統(tǒng)等等網(wǎng)絡(luò)安全工具,在網(wǎng)絡(luò)邊界保護內(nèi)部網(wǎng)絡(luò)的安全。但是各種網(wǎng)絡(luò)安全技術(shù)都有各自的側(cè)重點和優(yōu)缺點,只有在網(wǎng)絡(luò)系統(tǒng)中將不同安全防護技術(shù)結(jié)合起來使用,才能使網(wǎng)絡(luò)安全得到最大限度的保護。
網(wǎng)絡(luò)安全技術(shù)的論文二:
1 引言
21世紀(jì)全世界的計算機大部分都將通過互聯(lián)網(wǎng)連到一起,在信息社會中,隨著國民經(jīng)濟的信息化程度的提高,有關(guān)的大量情報和商務(wù)信息都高度集中地存放在計算機中,隨著網(wǎng)絡(luò)應(yīng)用范圍的擴大,信息的泄露問題也變得日益嚴(yán)重,因此,計算機網(wǎng)絡(luò)的安全性問題就越來越重要。
2 網(wǎng)絡(luò)威脅
2.1網(wǎng)絡(luò)威脅的來源
(1)網(wǎng)絡(luò)操作系統(tǒng)的不安全性:目前流行的操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞。
(2)來自外部的安全威脅:非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運行、利用網(wǎng)絡(luò)傳播病毒等。
(3)網(wǎng)絡(luò)通信協(xié)議本身缺乏安全性(如:TCP/IP協(xié)議):協(xié)議的最大缺點就是缺乏對IP地址的保護,缺乏對IP包中源IP地址真實性的認證機制與保密措施。
(4)木馬及病毒感染。
(5)應(yīng)用服務(wù)的安全:許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通信方面考慮的不周全。
2.2網(wǎng)絡(luò)攻擊的發(fā)展趨勢
目前新發(fā)現(xiàn)的安全漏洞每年都要增加一倍。管理人員不斷用最新的補丁修補這些漏洞,而且每年都會發(fā)現(xiàn)安全漏洞的新類型。入侵者經(jīng)常能夠在廠商修補這些漏洞前發(fā)現(xiàn)攻擊目標(biāo),而且現(xiàn)在攻擊工具越來越復(fù)雜,與以前相比,攻擊工具的特征更難發(fā)現(xiàn),更難利用特征進行檢測,具有反偵察的動態(tài)行為攻擊者采用隱蔽攻擊工具特性的技術(shù)。攻擊自動化程度和攻擊速度提高,殺傷力逐步提高。越來越多的攻擊技術(shù)可以繞過防火墻。在許多的網(wǎng)站上都有大量的穿過防火墻的技術(shù)和資料。由此可見管理人員應(yīng)對組成網(wǎng)絡(luò)的各種軟硬件設(shè)施進行綜合管理,以達到充分利用這些資源的目的,并保證網(wǎng)絡(luò)向用戶提供可靠的通信服務(wù)。
3 網(wǎng)絡(luò)安全技術(shù)
3.1網(wǎng)絡(luò)安全管理措施
安全管理是指按照本地的指導(dǎo)來控制對網(wǎng)絡(luò)資源的訪問,以保證網(wǎng)絡(luò)不被侵害,并保證重要信息不被未授權(quán)的用戶訪問。網(wǎng)絡(luò)安全管理主要包括:安全設(shè)備的管理、安全策略管理、安全風(fēng)險控制、安全審計等幾個方面。安全設(shè)備管理:指對網(wǎng)絡(luò)中所有的安全產(chǎn)品。如防火墻、、防病毒、入侵檢測(網(wǎng)絡(luò)、主機)、漏洞掃描等產(chǎn)品實現(xiàn)統(tǒng)一管理、統(tǒng)一監(jiān)控。
安全策略管理:指管理、保護及自動分發(fā)全局性的安全策略,包括對安全設(shè)備、操作系統(tǒng)及應(yīng)用系統(tǒng)的安全策略的管理。
安全分析控制:確定、控制并消除或縮減系統(tǒng)資源的不定事件的總過程,包括風(fēng)險分析、選擇、實現(xiàn)與測試、安全評估及所有的安全檢查(含系統(tǒng)補丁程序檢查)。
安全審計:對網(wǎng)絡(luò)中的安全設(shè)備、操作系統(tǒng)及應(yīng)用系統(tǒng)的日志信息收集匯總。實現(xiàn)對這些信息的查詢和統(tǒng)計;并通過對這些集中的信息的進一步分析,可以得出更深層次的安全分析結(jié)果。
3.2網(wǎng)絡(luò)安全防護措施
3.2.1防火墻技術(shù)
防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù),實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備,主要方法有:堡壘主機、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機防火墻、雙宿主機等類型。
根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)、代理型和監(jiān)測型。
(1)包過濾型
包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,這種技術(shù)由路由器和Filter共同完成,路由器審查每個包以便確定其是否與某一包過濾原則相匹配。防火墻通過讀取數(shù)據(jù)包中的“包頭”的地址信息來判斷這些“包”是否來自可信任的安全站,如果來自危險站點,防火墻便會將這些數(shù)據(jù)拒絕。包過濾的優(yōu)點是處理速度快易于維護。其缺點是包過濾技術(shù)完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進行判斷,無法告知何人進入系統(tǒng),無法識別基于應(yīng)用層的惡意入侵,如木馬程序,另一不足是不能在用戶級別上進行過濾。即不能鑒別不同的用戶和防止IP盜用。
(2)網(wǎng)絡(luò)地址轉(zhuǎn)換
網(wǎng)絡(luò)地址轉(zhuǎn)換在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時。將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,而隱藏真實的內(nèi)部網(wǎng)絡(luò)地址。利用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)能透明地對所有內(nèi)部地址作轉(zhuǎn)換,使外部網(wǎng)絡(luò)無法了解內(nèi)部結(jié)構(gòu),同時允許內(nèi)部網(wǎng)絡(luò)使用自編的IP地址和專用網(wǎng)絡(luò)。防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全。
(3)代理型
代理型的特點是將所有跨越防火墻的網(wǎng)絡(luò)通訊鏈路分為二段。防火墻內(nèi)外計算機系統(tǒng)間的應(yīng)用層的“連接”由二個終止于代理服務(wù)器上的“連接”來實現(xiàn),外部計算機的網(wǎng)絡(luò)鏈路只能到達代理服務(wù)器,由此實現(xiàn)了“防火墻”內(nèi)外計算機系統(tǒng)的隔離,代理服務(wù)器在此等效于一個網(wǎng)絡(luò)傳輸層上的數(shù)據(jù)轉(zhuǎn)發(fā)器的功能,外部的惡意侵害也就很難破壞內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的優(yōu)點是安全性較高,可對應(yīng)用層進行偵測和掃描,對基于應(yīng)用層的入侵和病毒十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響,系統(tǒng)管理復(fù)雜。
(4)監(jiān)測型
監(jiān)測型防火墻是新一代的產(chǎn)品,監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測。在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種監(jiān)測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中。不僅能夠監(jiān)測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強的防范作用。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品,但其缺點是實現(xiàn)成本較高,管理復(fù)雜。所以目前在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面已開始使用監(jiān)測型防火墻。
3.2.2物理隔離
所謂“物理隔離”是指內(nèi)部網(wǎng)不得直接或間接地連接公共網(wǎng)。雖然能夠利用防火墻、代理服務(wù)器、入侵監(jiān)測等技術(shù)手段來抵御來自互聯(lián)網(wǎng)的非法入侵。但是這些技術(shù)手段都還存在許多不足,使得內(nèi)網(wǎng)信息的絕對安全無法實現(xiàn)。“物理隔離”一般采用網(wǎng)絡(luò)隔離卡的方法。它由三部分組成:內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元和一個隔離島。它將單一的PC物理隔離成兩個虛擬工作站,分別有自己獨立的硬盤分區(qū)和操作系統(tǒng),并能通過各自的專用接口與網(wǎng)絡(luò)連接。它通過有效而全面地控制計算機的硬盤數(shù)據(jù)線,使得計算機一次只能訪問及使用其中的一個硬盤分區(qū),從而最大限度地保證了安全(內(nèi)網(wǎng))與非安全(外網(wǎng))之間的物理隔離。隔離島在外網(wǎng)區(qū)域時可以讀/寫文件,而在內(nèi)網(wǎng)區(qū)域時只可以讀取文件,這樣就創(chuàng)建了一個只能從外網(wǎng)到內(nèi)網(wǎng)、操作簡便且非常安全的單向數(shù)據(jù)通道。
4 結(jié)論
隨著網(wǎng)絡(luò)的發(fā)展會有更多新的計算機的攻擊方式和手段出現(xiàn),也會有更多更新的防護技術(shù)手段出現(xiàn),做好網(wǎng)絡(luò)安全防護工作是計算機管理和應(yīng)用的重要內(nèi)容,做好計算機的安全管理,配合高效的防火墻,能夠很好地保障網(wǎng)絡(luò)的安全,極大提高網(wǎng)絡(luò)的運行效率。
網(wǎng)絡(luò)安全技術(shù)的論文三:
互聯(lián)網(wǎng)的飛速發(fā)展給人們的生產(chǎn)生活帶來了巨大變化,然而網(wǎng)絡(luò)安全技術(shù)作為一個獨特的領(lǐng)域越來越受到全球網(wǎng)絡(luò)建設(shè)者及使用者的關(guān)注,本文主要就網(wǎng)絡(luò)中經(jīng)常受到的網(wǎng)絡(luò)攻擊及預(yù)防措施進行論述。
一、常見的網(wǎng)絡(luò)攻擊
(一)入侵系統(tǒng)攻擊。此類攻擊如果成功,將使你的系統(tǒng)上的資源被對方一覽無遺,對方可以直接控制你的機器,可任意修改或盜取被控機器中的各種信息。
(二)欺騙類攻擊。網(wǎng)絡(luò)協(xié)議本身的一些缺陷可以被利用,使黑客可以對網(wǎng)絡(luò)進行攻擊,主要方式有:IP欺騙;ARP欺騙;DNS欺騙;Web欺騙;電子郵件欺騙;源路由欺騙;地址欺騙等。
(三)利用病毒攻擊。病毒是黑客實施網(wǎng)絡(luò)攻擊的有效手段之一,它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對性、衍生性、不可預(yù)見性和破壞性等特性,而且在網(wǎng)絡(luò)中其危害更加可怕,目前可通過網(wǎng)絡(luò)進行傳播的病毒已有數(shù)萬種,可通過注入技術(shù)進行破壞和攻擊。
(四)木馬程序攻擊。特洛伊木馬是一種直接由一個黑客,或是通過一個不令人起疑的用戶秘密安裝到目標(biāo)系統(tǒng)的程序。一旦安裝成功并取得管理員權(quán)限,安裝此程序的人就可以直接遠程控制目標(biāo)系統(tǒng)。
(五)網(wǎng)絡(luò)偵聽。網(wǎng)絡(luò)偵聽為主機工作模式,主機能接受到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?。只要使用網(wǎng)絡(luò)監(jiān)聽工具,就可以輕易地截取所在網(wǎng)段的所有用戶口令和賬號等有用的信息資料。
(六)對防火墻的攻擊。防火墻也是由軟件和硬件組成的,在設(shè)計和實現(xiàn)上都不可避免地存在著缺陷,對防火墻的攻擊方法也是多種多樣的,如探測攻擊技術(shù)、認證的攻擊技術(shù)等。
二、防御措施主要有以下幾種
(一)防火墻。防火墻是建立在被保護網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一道安全屏障,用于保護企業(yè)內(nèi)部網(wǎng)絡(luò)和資源。它在內(nèi)部和外部兩個網(wǎng)絡(luò)之間建立一個安全控制點,對進、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進行控制和審計。
根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換――NAT、代理型和監(jiān)測型。
1、包過濾型。包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外,系統(tǒng)管理員也可以根據(jù)實際情況靈活制定判斷規(guī)則。
2、網(wǎng)絡(luò)地址轉(zhuǎn)化――NAT。網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的、外部的、注冊的IP地址標(biāo)準(zhǔn),它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng),它還意味著用戶不需要為其網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址,在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時,將產(chǎn)生一個映射記錄,系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個開放的IP地址和端口來請求訪問OLM防火墻,根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全;當(dāng)符合規(guī)則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內(nèi)部計算機中。當(dāng)不符合規(guī)則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的,不需要用戶進行設(shè)置,用戶只要進行常規(guī)操作即可。
3、代理型。代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。代理服務(wù)器位于客戶機與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看,代理服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺真正的客戶機。當(dāng)客戶機需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部的網(wǎng)絡(luò)系統(tǒng)。
4、監(jiān)測型。監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強的防范作用。據(jù)權(quán)威機構(gòu)統(tǒng)計,在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。
(二)虛擬專用網(wǎng)。虛擬專用網(wǎng)()的實現(xiàn)技術(shù)和方式有很多,但是所有的產(chǎn)品都應(yīng)該保證通過公用網(wǎng)絡(luò)平臺傳輸數(shù)據(jù)的專用性和安全性。如在非面向連接的公用IP網(wǎng)絡(luò)上建立一個隧道,利用加密技術(shù)對經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進行加密,以保證數(shù)據(jù)的私有性和安全性。此外,還需要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。
(三)虛擬局域網(wǎng)。選擇虛擬局域網(wǎng)(VLAN)技術(shù)可從鏈路層實施網(wǎng)絡(luò)安全。VLAN是指在交換局域網(wǎng)的基礎(chǔ)上,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個VLAN組成一個邏輯子網(wǎng),即一個邏輯廣播域,它可以覆蓋多個網(wǎng)絡(luò)設(shè)備,允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中。該技術(shù)能有效地控制網(wǎng)絡(luò)流量、防止廣播風(fēng)暴,但VLAN技術(shù)的局限在新的VLAN機制較好的解決了,這一新的VLAN就是專用虛擬局域網(wǎng)(PVLAN)技術(shù)。
(四)漏洞檢測。漏洞檢測就是對重要計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)進行檢查,發(fā)現(xiàn)其中存在的薄弱環(huán)節(jié)和所具有的攻擊性特征。通常采用兩種策略,即被動式策略和主動式策略。被動式策略基于主機檢測,對系統(tǒng)中不合適的設(shè)置、口令以及其他同安全規(guī)則相背的對象進行檢查;主動式策略基于網(wǎng)絡(luò)檢測,通過執(zhí)行一些腳本文件對系統(tǒng)進行攻擊,并記錄它的反應(yīng),從而發(fā)現(xiàn)其中的漏洞。漏洞檢測的結(jié)果實際上就是系統(tǒng)安全性的一個評估,它指出了哪些攻擊是可能的,因此成為安全方案的一個重要組成部分。漏洞檢測系統(tǒng)是防火墻的延伸,并能有效地結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品的性能,保證計算機系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性。
(五)入侵檢測。入侵檢測系統(tǒng)將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)實時捕獲下來,檢查是否有黑客入侵或可疑活動的發(fā)生,一旦發(fā)現(xiàn)有黑客入侵或可疑活動的發(fā)生,系統(tǒng)將做出實時報警響應(yīng)。
(六)密碼保護。加密措施是保護信息的最后防線,被公認為是保護信息傳輸唯一實用的方法。無論是對等還是不對等加密都是為了確保信息的真實和不被盜取應(yīng)用,但隨著計算機性能的飛速發(fā)展,解除部分公開算法的加密方法已變得越來越可能。
(七)安全策略。安全策略可以認為是一系列政策的集合,用來規(guī)范對組織資源的管理、保護以及分配,以達到最終安全的目的,安全策略的制定需要基于一些安全模型。
總之,網(wǎng)絡(luò)安全是一個綜合性的課題,涉及技術(shù)、管理、使用等許多方面,為網(wǎng)絡(luò)提供強大的安全服務(wù)――這也是網(wǎng)絡(luò)安全領(lǐng)域的迫切需要。