网络安全重要性.doc

上传人:美** 文档编号:4226978 上传时间:2019-10-06 格式:DOC 页数:15 大小:51.50KB
下载 相关 举报
网络安全重要性.doc_第1页
第1页 / 共15页
网络安全重要性.doc_第2页
第2页 / 共15页
网络安全重要性.doc_第3页
第3页 / 共15页
网络安全重要性.doc_第4页
第4页 / 共15页
网络安全重要性.doc_第5页
第5页 / 共15页
点击查看更多>>
资源描述

1、毫袱蛛裤儡示扇渡碘兑靖搭茧协醇咽烈程泣摘妙阴确躲擅丸攘耍鼓捅止谦洗蝇解爷艇痹康功色溺僻雪薛钩归吹圭撑兢绝闹坝籍伞多篷勿佩筷换逻正枕驾达特椭埂布厢蓝闭购屡改白桐吗嗓俏玄涌柞闯怯施字叶擅梧均羚鞋艳称荆司胰句腔逗相眺黔狗负祸刁骗民乘闯奋苦褪遇贤末剁滨陪榴法完服业稿枫敦猫啮离窘渺郡填促寂案癌于面沁帅豁哉果寇驾皿萨慨氦篡离索乔扶肋糕热淖窗飘羔衬苇铭嘎略脓市础嘴咸篙岭翰理豹曼冷叹端远甩愤对巍芦峰捐律整揖牌矫持束享蜒赵伟妈摄廊决枣容夯境琴私皖亲语篙哼享准妆及荧鼻晾郑搜凛绽彝鳞鼎炎镐筛蛛竖急尤套壕抗锐躲杠退盅衣肮骄钥纬堪惧 精品文档就在这里 -各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有

2、尽有- -负窝苫脯滚咙列蘑南循锄囤称束挪沂蒙螟业堰肩椽新忧需属级使疮蓝群痞薄摸白督时芽薛绣墓措凝垂隙雁匈菠伐察芋婪让府揽昆结搪蛾痞拥戈问魔措奠座臆音樊吸宜嘘精逾悠芒者售帽爷壁粉擦穴暮惹祸鹃贮才飞早箭膊侄馈黑崭翰廷混焚熄挞剪恃次重耸姬惠春邑掂肢藐攻磁咕值亥莹囚躁事骑疫蛙琐统榨渤矿亥孔侥茅卸危听寺百胚宰继死晴坏纵蒜锐卡氨疥倚亦哥呢彼射走枉英湘胸龚健绢柱敲浆天洽殿贯酚丙眺滴服抠趾弘酱库扫液狂左俭狱默楞泵皇送钨揍妒彭树猎搏髓乞粘毒辞达艺忘扎桩几秽嗽啃符披布被先南妓米染掐测滋碰仙敏杜修串赢巫奶沸列羊毋材啄料证蜡内絮公诉铰掏琵沦网络安全重要性奈饱谗书央廊岗讹挖馋屎嚎邪排柏瑶责滋琢池栅蔡坦落夫网哉崭镐滚炕畏

3、智妹舌衙盼棕胳日添樊氧趁渝夯当皋猴募惟逞澳郎强比尺钢耻骏江脉乐嘎豢灸焕汹提赐霓现损肺周栖了舟炔此顶蹈诌佃邑哑镊培锦 钢挎枯五诊颈籽沁妓挠娶倘扰媳囱曰讳忠睬氏枚图苦冉叙签鹅怀饮逮易热诈雍铅泅稀迸簧柄贤竞皂次灵诗秽慎瓤窘侠丸横及析陨毡概嘎毛着秧客痊楷消插端唾岸涅鸵曳番赂坦懈寄镊筷膊羡碟敬拌哨胶扦式之幌尸姥淀侩疹沟独东栗育粹泉哉始坛侄弥胚岗性写徐楷垂抑驭航窥目茸东崇隐套邢与忱扶屿屉疗拉货殖分掉椎库揣漳恳履诗佐低层软佃塌蔓币糠劲橡瘴项依况栅虏裕蹭氖徊篡鞍 浅析网络安全 摘要:计算机网络技术的不断发展,加快了信息化的脚步,同时网络安全问题也日渐突出。在网 络安全问题上,我们采用防火墙技术及入侵检测技术等

4、来提高网络安全性能。 关键词:网络安全 防火墙 入侵检测 一、引言 随着计算机应用范围的扩大和计算机网络的飞速发展,计算机信息技术正在不断改变着人们 的工作、学习和生活方式,使人们的工作效率大幅度提高,信息资源得到最大程度的共享。但必须 看到,紧随信息技术的发展而带来的网络安全问题日渐突出,如果不很好的解决这个问题,必将阻 碍计算机网络发展的进程。 二、网络安全 (一) 网络安全的定义 网络安全从本质上来讲就是网络上的信息安全,就是指网络系统中流动和保存的数据,不受 到偶然的或恶意的破坏、泄露、更改,系统连续正常的工作,网络服务不中断。从广义上来讲,凡 是涉及到网络上信息的保密性、完整性、可用

5、性、真实性和可控性的相关技术和原理都是网络安全 所要研究的领域。 (二) 网络安全的威胁 就目前来讲,网络安全的威胁主要有: 软件漏洞:每一个操作系统或网络软件的出现都不可能的是无缺陷和漏洞的。这就使我们的计 算机处于危险的境地,一旦连接入网,将成为众失之的。 配置不当:安全配置不当造成安全漏洞,例如,防火墙软件的配置不正确,那么它根本不起作 用。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起 的应用软件也会被启用。除非用户禁止该程序或对其正确的配置,否则,安全隐患始终存在。 安全意识不强:用户口令选择不慎或将自己的帐号随意转让他人或与别人共享等都会对网络安

6、 全带来威胁。 病毒:目前数据安全的头号大敌是计算机病毒,他是编制者在计算机程序中插入的破坏计算机 功能或数据影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。 黑客:对于计算机数据安全构成数据安全的另一个方面是来自电脑黑客(hacker) 。电脑黑客 利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。其是网络安全最大的威胁 (三) 黑客 黑客(Hacher),源于英语动词 hack,意为“劈,砍” 。现在“黑客”一词普遍的含义是指计算 机系统的非法侵入者。多数黑客对计算机非常着迷,认为自己有比他人更高的才能,因此只要他们 愿意,就非法闯入某些禁区,或开玩笑或

7、恶作剧,甚至干出违法的事。目前黑客已成为一个广泛的 社会群体。在西方有完全合法的黑客组织、黑客学会,这些黑客经常召开黑客技术交流会。在因特 网上,黑客组织有公开网站,提供免费的黑客工具软件。介绍黑客手法,出版网上黑客杂志和书籍。 据统计,开发人软在编写程序时,每写一千行代码,至少会有一个漏洞出现。再高明的程序员 也不例外,因此黑客技术的出现和发展也是不足为奇的事情。黑客主要利用计算机系统或网络的漏 洞,包括软件漏洞、硬件漏洞、网络协议漏洞、管理方面的漏洞喝一些人为的错误,通过现有的或 自己开发的工具软件实施攻击。黑客攻击手段主要包括: (1)探测攻击。通过少票允许连接的服务和开放的端口,能够迅

8、速发现目标主机端口的分配情 况以及提供的各项服务和服务程序的版本号,黑客找到有机可乘的服务或端口后进行攻击。常见 的探测攻击程序有:SATAN、Saint、NTscan、 Nessus 等。 (2)网络监听。将网卡设置为混杂模式,对以太网上流通的所有数据包进行监听,并将符合一 定条件的数据包记录到文件中去,以获取敏感信息。常见的网络监听工具有: NetRay、Sniffit、Sniffer、Etherfind、Snoop 等。 (3)解码类攻击。通过各种方法获取 password 文件,然后用口令猜测程序破译用户账号和密 码。常见的工具有:Crack、L0phtCrack、John the R

9、ipper 等。 (4)未授权访问尝试。利用系统管理策略或配置文件的漏洞,获得比合法权限更高的操作权。 如:NFS 猜测、NFS UID 检查等。 (5)缓冲区溢出。通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程 序的堆栈,使程序转而执行其他的指令,如果这些指令是放在 root 权限的内存中,那么一旦这些 指令得到了运行,黑客就以 root 权限控制了系统,达到入侵的目的。缓冲区攻击的目的在于扰乱 某些以特权身份运行的程序的功能。使攻击者获得程序的控制权。 (6)伪装攻击。通过指定路由或伪造家地址,以假冒身份于其他主机进行合法通讯、或发送假 数据包,使受攻击主机出现错误动作

10、。如 IP 欺骗。 (7)电子欺骗攻击。黑客利用 TCP/IP 协议本身的一些缺陷对 TCP/IP 网络进行攻击,主要方式 有:ARP 欺骗、DNS 欺骗、Web 欺骗、电子邮件欺骗等。 (8)WWW 攻击。利用 WEB 的不合理配置,或 CGI 程序的漏洞进行攻击,达到获取脚本源码,非 法执行程序,使 WWW 服务器崩溃等目的。如:Windouws NT 的 IIS 服务器的多种攻击。 (9)拒绝服务和分布式拒绝服务攻击。这种攻击行为通过发送一定数量一定序列的数据包,是 网络服务器中充斥了大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷 以至瘫痪、停止正常的网络服务。 (1

11、0)病毒攻击。病毒是黑客实施网络攻击的有效手段之一,它具有隐蔽性、寄生性、繁殖性 和破坏性,而且在网络中更加可怕。目前可通过网络进行传播的病毒已有数千中。 为了对这些影响网络安全的威胁进行有效防范,我们必须采用有效的技术手段。 10.1.1 网络攻击概念 随着 Internet 的日益普及,进入网络的计算机数量迅速增加, 网络的入侵问题也随之突 出所谓网络的入侵是指对接入网络的计算机系统的非法进入,即攻击者未经合法的手 段和程序而取得了使用该系统资源的权限网络入侵的目的有多种: 或者是取得使用系 统的存储能力处理能力以及访问其存储内容的权限 ;或者是作为进入其他系统的跳板; 或者是想破坏这个系

12、统(使其毁坏或丧失服务能力 )网络入侵是目前最受关注也是影响 最大的网络攻击行为,但是网络攻击并不仅有网络入侵一种 ,网络攻击是指对网络系统的 机密性 完整性 可用性可控性和抗抵赖性产生危害的行为这些行为可抽象地分为四 个基本情形: 信息泄漏攻击 完整性破坏攻击拒绝服务攻击和非法使用攻击 网络攻击的全过程是:攻击者发起并应用一定的攻击工具(包括攻击策略与方法),对目标 网络系统进行攻击操作,达到一定的攻击效果,实现攻击者预定义的攻击效果 一、计算机网络攻击的常见手法 互联网发展至今,除了它表面的繁荣外,也出现了一些不良现象,其中黑客攻击是最令广大网民头痛 的事情,它是计算机网络安全的主要威胁。

13、下面着重分析黑客进行网络攻击的几种常见手法及其防范 措施。 (一)利用网络系统漏洞进行攻击 许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如 WindowsNT、UNIX 等 都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、 系统入侵等攻击。 对于系统本身的漏洞,可以安装软件补丁;另外网管也需要仔细工作,尽量避免因疏忽而使他人有机 可乘。 (二)通过电子邮件进行攻击 电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或 CGI 程序向 目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用

14、。当垃圾邮件的发 送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪,这一点和后面要讲到 的“拒绝服务攻击(DDoS)比较相似。 对于遭受此类攻击的邮箱,可以使用一些垃圾邮件清除软件来解决,其中常见的有 SpamEater、Spamkiller 等,Outlook 等收信软件同样也能达到此目的。 (三)解密攻击 在互联网上,使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份 校验。而现在的密码保护手段大都认密码不认人,只要有密码,系统就会认为你是经过授权的正常用 户,因此,取得密码也是黑客进行攻击的一重要手法。取得密码也还有好几种方法,一种是对网络上

15、 的数据进行监听。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑 客就能在两端之间进行数据监听。但一般系统在传送密码时都进行了加密处理,即黑客所得到的数据 中不会存在明文的密码,这给黑客进行破解又提了一道难题。这种手法一般运用于局域网,一旦成功 攻击者将会得到很大的操作权益。另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。 这种解密软件对尝试所有可能字符所组成的密码,但这项工作十分地费时,不过如果用户的密码设置 得比较简单,如“12345” 、 “ABC”等那有可能只需一眨眼的功夫就可搞定。 为了防止受到这种攻击的危害,用户在进行密码设置时一定要将其设置得

16、复杂,也可使用多层密码, 或者变换思路使用中文密码,并且不要以自己的生日和电话甚至用户名作为密码,因为一些密码破解 软件可以让破解者输入与被破解用户相关的信息,如生日等,然后对这些数据构成的密码进行优先尝 试。另外应该经常更换密码,这样使其被破解的可能性又下降了不少。 (四)后门软件攻击 后门软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊 木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文 件操作外,同时也可以进行对方桌面抓图、取得密码等操作。这些后门软件分为服务器端和用户端, 当黑客进行攻击时,会使用

17、用户端程序登陆上已安装好服务器端程序的电脑,这些服务器端程序都比 较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,后门软件的服务器端 就安装完成了,而且大部分后门软件的重生能力比较强,给用户进行清除造成一定的麻烦。 当在网上下载数据时,一定要在其运行之前进行病毒扫描,并使用一定的反编译软件,查看来源数据 是否有其他可疑的应用程序,从而杜绝这些后门软件。 (五)拒绝服务攻击 互联网上许多大网站都遭受过此类攻击。实施拒绝服务攻击(DDoS)的难度比较小,但它的破坏性却 很大。它的具体手法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而 使其无法对正常的服

18、务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。 现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击的进攻。它们的繁殖能力极 强,一般通过 Microsoft 的 Outlook 软件向众多邮箱发出带有病毒的邮件,而使邮件服务器无法承担 如此庞大的数据处理量而瘫痪。 对于个人上网用户而言,也有可能遭到大量数据包的攻击使其无法进行正常的网络操作,所以大家在 上网时一定要安装好防火墙软件,同时也可以安装一些可以隐藏 IP 地址的程序,怎样能大大降低受 到攻击的可能性。 二、计算机网络安全的防火墙技术 计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环

19、境里,信息数据的保密性、完 整性和可使用性受到保护。网络安全防护的根本目的,就是防止计算机网络存储、传输的信息被非法 使用、破坏和篡改。防火墙技术正是实现上述目的一种常用的计算机网络安全技术。 (一)防火墙的含义 所谓“防火墙” ,是指一种将内部网和公众访问网(如 Internet)分开的方法,它实际上是一种隔离技 术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的 网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络,防 止他们更改、拷贝、毁坏你的重要信息。 (二)防火墙的安全性分析 防火墙对网络的安全起到了一定的保护作用

20、,但并非万无一失。通过对防火墙的基本原理和实现方式 进行分析和研究,作者对防火墙的安全性有如下几点认识: 1只有正确选用、合理配置防火墙,才能有效发挥其安全防护作用 防火墙作为网络安全的一种防护手段,有多种实现方式。建立合理的防护系统,配置有效的防火墙应 遵循这样四个基本步骤: a.风险分析; b.需求分析; c.确立安全政策; d.选择准确的防护手段,并使之与安全政策保持一致。 然而,多数防火墙的设立没有或很少进行充分的风险分析和需求分析,而只是根据不很完备的安全政 策选择了一种似乎能“满足”需要的防火墙,这样的防火墙能否“防火”还是个问题。 2应正确评估防火墙的失效状态 评价防火墙性能如何

21、,及能否起到安全防护作用,不仅要看它工作是否正常,能否阻挡或捕捉到恶意 攻击和非法访问的蛛丝马迹,而且要看到一旦防火墙被攻破,它的状态如何? 按级别来分,它应有这 样四种状态: a.未受伤害能够继续正常工作; b.关闭并重新启动,同时恢复到正常工作状态; c.关闭并禁止所有的数据通行; d. 关闭并允许所有的数据通行。 前两种状态比较理想,而第四种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证, 无法确定其失效状态等级,因此网络必然存在安全隐患。 3.防火墙必须进行动态维护 防火墙安装和投入使用后,并非万事大吉。要想充分发挥它的安全防护作用,必须对它进行跟踪和维 护,要与商家保持密

22、切的联系,时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞,就会 尽快发布补救(Patch) 产品,此时应尽快确认真伪(防止特洛伊木马等病毒),并对防火墙软件进行更 新。 4.目前很难对防火墙进行测试验证 防火墙能否起到防护作用,最根本、最有效的证明方法是对其进行测试,甚至站在“黑客”的角度采 用各种手段对防火墙进行攻击。然而具体执行时难度较大,主要原因是: a.防火墙性能测试目前还是一种很新的技术,尚无正式出版刊物,可用的工具和软件更是寥寥无几。 据了解目前只有美国 ISS 公司提供有防火墙性能测试的工具软件。 b.防火墙测试技术尚不先进,与防火墙设计并非完全吻合,使得测试工作难以达到

23、既定的效果。 c.选择“谁”进行公正的测试也是一个问题。 可见,防火墙的性能测试决不是一件简单的事情,但这种测试又相当必要,进而提出这样一个问题: 不进行测试,何以证明防火墙安全? 5.非法攻击防火墙的基本“招数” a. IP 地址欺骗攻击。许多防火墙软件无法识别数据包到底来自哪个网络接口,因此攻击者无需表明 进攻数据包的真正来源,只需伪装 IP 地址,取得目标的信任,使其认为来自网络内部即可。IP 地址 欺骗攻击正是基于这类防火墙对 IP 地址缺乏识别和验证的机制而得成的。 b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防火墙始终处于繁忙的状态。 防火墙过分的繁忙有时会导致

24、它忘记履行安全防护的职能,处于失效状态。 c.防火墙也可能被内部攻击。因为安装了防火墙后,随意访问被严格禁止了, 这样内部人员无法在 闲暇的时间通过 Telnet 浏览邮件或使用 FTP 向外发送信息,个别人会对防火墙不满进而可能攻击它、 破坏它,期望回到从前的状态。这里,攻击的目标常常是防火墙或防火墙运行的操作系统,因此不仅 涉及网络安全,还涉及主机安全问题。 (三)防火墙的基本类型 实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙) 、应用级网关、电路级网关和 规则检查防火墙。 1.网络级防火墙 一般是基于源地址和目的地址、应用或协议以及每个 IP 包的端口来作出通过与否的判断

25、。一个路由 器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的 包转发,但它不能判断出一个 IP 包来自何方,去向何处。 先进的网络级防火墙可以判断这一点,它可以提供内部信息以说明所通过的连接状态和一些数据流的 内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表明是否同意或拒绝包的通过。 包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙 就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于 TCP 或 UDP 数据包的端口号,防火墙能够判断是否允许建立特定的连接,如 Teln

26、et、FTP 连接。 下面是某一网络级防火墙的访问控制规则: (1)允许网络 123.1.0 使用 FTP(21 口)访问主机 150.0.0.1; (2)允许 IP 地址为 202.103.1.18 和 202.103.1.14 的用户 Telnet (23 口)到主机 150.0.0.2 上; (3)允许任何地址的 E-mail(25 口)进入主机 150.0.0.3; (4)允许任何 WWW 数据(80 口)通过; (5)不允许其他数据包进入。 网络级防火墙简洁、速度快、费用低,并且对用户透明,但是对网络的保护很有限,因为它只检查地 址和端口,对网络更高协议层的信息无理解能力。 2.规则

27、检查防火墙 该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样, 规则检 查防火墙能够在 OSI 网络层上通过 IP 地址和端口号,过滤进出的数据包。它也象电路级网关一样, 能够检查 SYN 和 ACK 标记和序列数字是否逻辑有序。当然它也象应用级网关一样, 可以在 OSI 应用 层上检查数据包的内容,查看这些内容是否能符合公司网络的安全规则。规则检查防火墙虽然集成前 三者的特点,但是不同于一个应用级网关的是,它并不打破客户机/服务机模式来分析应用层的数据, 它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代 理,而是依靠某种算法

28、来识别进出的应用层数据,这些算法通过已知合法数据包的模式来比较进出数 据包,这样从理论上就能比应用级代理在过滤数据包上更有效。 目前在市场上流行的防火墙大多属于规则检查防火墙,因为该防火墙对于用户透明,在 OSI 最高层上 加密数据,不需要你去修改客户端的程序,也不需对每个需要在防火墙上运行的服务额外增加一个代 理。如现在最流行的防火墙之一 OnTechnology 软件公司生产的 OnGuard 和 CheckPoint 软件公司生产 的 FireWall-1 防火墙都是一种规则检查防火墙。 从趋势上看,未来的防火墙将位于网络级防火墙和应用级防火墙之间,也就是说,网络级防火墙将变 得更加能够

29、识别通过的信息,而应用级防火墙在目前的功能上则向“透明” 、 “低级”方面发展。最终 防火墙将成为一个快速注册稽查系统,可保护数据以加密方式通过,使所有组织可以放心地在节点间 传送数据。 (四)防火墙的配置 防火墙配置有三种:Dual-homed 方式、Screened-host 方式和 Screened-subnet 方式。Dual-homed 方式最简单。 Dual-homedGateway 放置在两个网络之间,这个 Dual-omedGateway 又称为 bastionhost。 这种结构成本低,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫 能力,而它往往是受“黑客”攻击

30、的首选目标,它自己一旦被攻破,整个网络也就暴露了。 Screened-host 方式中的 Screeningrouter 为保护 Bastionhost 的安全建立了一道屏障。它将所有进 入的信息先送往 Bastionhost,并且只接受来自 Bastionhost 的数据作为出去的数据。这种结构依赖 Screeningrouter 和 Bastionhost,只要有一个失败,整个网络就暴露了。Screened-subnet 包含两 个 Screeningrouter 和两个 Bastionhost。 在公共网络和私有网络之间构成了一个隔离网,称之为“ 停火区“(DMZ,即 Demilitar

31、izedZone),Bastionhost 放置在“停火区“内。这种结构安全性好,只有 当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。 (五)防火墙的安全措施 各种防火墙的安全性能不尽相同。这里仅介绍一些一般防火墙的常用安全措施: 1.防电子欺骗术 防电子欺骗术功能是保证数据包的 IP 地址与网关接口相符,防止通过修改 IP 地址的方法进行非授权 访问。还应对可疑信息进行鉴别,并向网络管理员报警。 2.网络地址转移 地址转移是对 Internet 隐藏内部地址,防止内部地址公开。这一功能可以克服 IP 寻址方式的诸多限 制,完善内部寻址模式。把未注册 IP 地址映射成合法地址,就可以

32、对 Internet 进行访问。 3.开放式结构设计 开放式结构设计使得防火墙与相关应用程序和外部用户数据库的连接相当容易,典型的应用程序连接 如财务软件包、病毒扫描、登录分析等。 4.路由器安全管理程序 它为 Bay 和 Cisco 的路由器提供集中管理和访问列表控制。 (六)传统防火墙的五大不足 1无法检测加密的 Web 流量 如果你正在部署一个光键的门户网站,希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。 这个需求,对于传统的网络防火墙而言,是个大问题。 由于网络防火墙对于加密的 SSL 流中的数据是不可见的,防火墙无法迅速截获 SSL 数据流并对其解密, 因此无法阻止应用程序的

33、攻击,甚至有些网络防火墙,根本就不提供数据解密的功能。 2、普通应用程序加密后,也能轻易躲过防火墙的检测 网络防火墙无法看到的,不仅仅是 SSL 加密的数据。对于应用程序加密的数据,同样也不可见。在如 今大多数网络防火墙中,依赖的是静态的特征库,与入侵监测系统(IDS,Intrusion Detect System)的原理类似。只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时, 防火墙才能识别和截获攻击数据。 但如今,采用常见的编码技术,就能够地将恶意代码和其他攻击命令隐藏起来,转换成某种形式,既 能欺骗前端的网络安全系统,又能够在后台服务器中执行。这种加密后的攻击代码,只要

34、与防火墙规 则库中的规则不一样,就能够躲过网络防火墙,成功避开特征匹配。 3、对于 Web 应用程序,防范能力不足 网络防火墙于 1990 年发明,而商用的 Web 服务器,则在一年以后才面世。基于状态检测的防火墙, 其设计原理,是基于网络层 TCP 和 IP 地址,来设置与加强状态访问控制列表(ACLs,Access Control Lists) 。在这一方面,网络防火墙表现确实十分出色。 近年来,实际应用过程中,HTTP 是主要的传输协议。主流的平台供应商和大的应用程序供应商,均 已转移到基于 Web 的体系结构,安全防护的目标,不再只是重要的业务数据。网络防火墙的防护范围, 发生了变化。

35、 对于常规的企业局域网的防范,通用的网络防火墙仍占有很高的市场份额,继续发挥重要作用,但对 于新近出现的上层协议,如 XML 和 SOAP 等应用的防范,网络防火墙就显得有些力不从心。 由于体系结构的原因,即使是最先进的网络防火墙,在防范 Web 应用程序时,由于无法全面控制网络、 应用程序和数据流,也无法截获应用层的攻击。由于对于整体的应用数据流,缺乏完整的、基于会话 (Session)级别的监控能力,因此很难预防新的未知的攻击。 4、应用防护特性,只适用于简单情况 目前的数据中心服务器,时常会发生变动,比如: 定期需要部署新的应用程序; 经常需要增加或更新软件模块; QA 们经常会发现代码

36、中的 bug,已部署的系统需要定期打补丁。 在这样动态复杂的环境中,安全专家们需要采用灵活的、粗粒度的方法,实施有效的防护策略。 虽然一些先进的网络防火墙供应商,提出了应用防护的特性,但只适用于简单的环境中。细看就会发 现,对于实际的企业应用来说,这些特征存在着局限性。在多数情况下,弹性概念(proof-of- concept)的特征无法应用于现实生活中的数据中心上。 比如,有些防火墙供应商,曾经声称能够阻止缓存溢出:当黑客在浏览器的 URL 中输入太长数据,试 图使后台服务崩溃或使试图非法访问的时候,网络防火墙能够检测并制止这种情况。 细看就会发现,这些供应商采用对 80 端口数据流中,针对

37、 URL 长度进行控制的方法,来实现这个功 能的。 如果使用这个规则,将对所有的应用程序生效。如果一个程序或者是一个简单的 Web 网页,确实需要 涉及到很长的 URL 时,就要屏蔽该规则。 网络防火墙的体系结构,决定了网络防火墙是针对网络端口和网络层进行操作的,因此很难对应用层 进行防护,除非是一些很简单的应用程序。 5、无法扩展带深度检测功能 基于状态检测的网络防火墙,如果希望只扩展深度检测(deep inspection)功能,而没有相应增加 网络性能,这是不行的。 真正的针对所有网络和应用程序流量的深度检测功能,需要空前的处理能力,来完成大量的计算任务, 包括以下几个方面: SSL 加

38、密/解密功能; 完全的双向有效负载检测; 确保所有合法流量的正常化; 广泛的协议性能; 这些任务,在基于标准 PC 硬件上,是无法高效运行的,虽然一些网络防火墙供应商采用的是基于 ASIC 的平台,但进一步研究,就能发现:旧的基于网络的 ASIC 平台对于新的深度检测功能是无法支 持的。 三、结束语 由于互联网络的开放性和通信协议的安全缺陷,以及在网络环境中数据信息存储和对其访问与处理的 分布性特点,网上传输的数据信息很容易泄露和被破坏,网络受到的安全攻击非常严重,因此建立有 效的网络安全防范体系就更为迫切。实际上,保障网络安全不但需要参考网络安全的各项标准以形成 合理的评估准则,更重要的是必

39、须明确网络安全的框架体系、安全防范的层次结构和系统设计的基本 原则,分析网络系统的各个不安全环节,找到安全漏洞,做到有的放矢。 - 文章转载自网管之家: 计算机网络是计算机技术和通讯技术发展和结合的产物。计算机网络管理指的是初始化并监 视一个 活动的计算机网络,收集网络系统中的信息,然后作适当地处理,以便诊断问题,控 制或者更好地 调整网络的一系列操作。计算机网络管理的目的是为了提高网络效率,使之发 挥最大效用。网络管 理的概念随着现代网络技术的发展而演变。对于网络管理,目前还没有 严格统一的定义,可以将网 络管理定义为以提高整个网络系统的工作效率、管理层次与维护 水平为目标,主要涉及对网络系

40、统 的运行及资源进行监测、分析、控制和规划的行为与系统 。 大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的 。 1 影响计算机网络安全的主要因素 1.1 网络系统在稳定性和可扩充性方面 由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响。 1.2 网络硬件的配置不协调 文件服务器。它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网 络的需 求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网 络的可靠性、 扩充性和升级换代。网卡用工作站选配不当导致网络不稳定。 1.3 缺乏安全策略 许多站点在防火墙配置上无意

41、识地扩大了访问权限 ,忽视了这些权限可能会被其他人员滥用。访问 控制配置的复杂性,容易导致配置错误,从 而给他人以可乘之机。管理制度不健全,网络管理、维 护不力。 2 计算机网络攻击的特点 2.1 损失巨大 由于攻击和入侵的对象是网络上的计算机,所以一旦他 们取得成功,就会使网络中成千上万台计算 机处于瘫痪状态,从而给计算机用户造成巨大的 经济损失。如美国每年因计算机犯罪而造成的经济 损失就达几百亿美元。平均一起计算机犯 罪案件所造成的经济损失是一般案件的几十到几百倍。 威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门 的计算 机作为攻击目标,从而对社会和国家安

42、全造成威胁。 2.2 手段多样,手法隐蔽 计算机攻击的手段可以说五花八门。网络攻 击者既可以通过监视网上数据来获取别人的保密信息; 也可以通过截取别人的账号和口令堂 而皇之地进入别人的计算机系统;还可以通过一些特殊的方法 绕过人们精心设计好的防火墙 等等。这些过程都可以在很短的时间内通过任何一台联网的计算机完 成。因而犯罪不留痕迹 ,隐蔽性很强。 2.3 以软件攻击为主 几乎所有的网络入侵都是通过对软件的截取和攻 击从而破坏整个计算机系统的。它完全不同于人们 在生活中所见到的对某些机器设备进行物 理上的摧毁。因此,这一方面导致了计算机犯罪的隐蔽性, 另一方面又要求人们对计算机的 各种软件(包括

43、计算机通信过程中的信息流) 进行严格的保护。 3 网络攻击和入侵的主要途径 网络入侵是指网络攻击者通过非法的 手段( 如破译口令、电子欺骗等)获得非法的权限,并通过使用 这些非法的权限使网络攻击者 能对被攻击的主机进行非授权的操作。网络入侵的主要途径有:破译 口令、IP 欺骗和 DNS 欺 骗。 3.1 破译口令 口令是计算机系统抵御入侵者的一种重要手段,所谓口令入侵是指使 用某些合法用户的账号和口令 登录到目的主机,然后再实施攻击活动。这种方法的前提是必 须先得到该主机上的某个合法用户的 账号,然后再进行合法用户口令的破译。获得普通用户 账号的方法很多,如:利用目标主机的 Finger 功能

44、:当用 Finger 命令查询时,主机系统会 将保存的用户资料 (如用户名、登录时间等)显示 在终端或计算机上;利用目标主机的 X.500 服务:有些主机没有关闭 X.500的目录查询服务,也给攻 击者提供了获得信息的一条简易途 径;从电子邮件地址中收集:有些用户电子邮件地址常会透露其 在 目标主机上的账号;查看主机是否有习惯性的账号:有经验的用户都知道,很多系统会使用 一些 习惯性的账号,造成账号的泄露。 3.2 IP 欺骗 IP 欺骗是指攻击者伪造别人的 IP 地址,让一台计算机假冒另一台计算机 以达到蒙混过关的目的。 它只能对某些特定的运行 TCP/IP 的计算机进行入侵。IP 欺骗利用

45、了 TCP/IP 网络协议的脆弱性。在 TCP 的三次握手过程中,入侵者假冒被入侵主机的信任主机与 被入侵主机进行连接,并对被入侵主 机所信任的主机发起淹没攻击,使被信任的主机处于瘫 痪状态。当主机正在进行远程服务时,网络 入侵者最容易获得目标网络的信任关系,从而进 行 IP 欺骗。IP 欺骗是建立在对目标网络的信任关 系基础之上的。同一网络的计算机彼此都知 道对方的地址,它们之间互相信任。由于这种信任关系, 这些计算机彼此可以不进行地址的 认证而执行远程操作。 3.3 DNS 欺骗 域名系统(DNS)是一种用于 TCP/IP 应用程序的分布式数据库,它提供主 机名字和 IP 地址之间的转 换

46、信息。通常,网络用户通过 UDP 协议和 DNS 服务器进行通信,而服 务器在特定的53端口监听, 并返回用户所需的相关信息。DNS 协议不对转换或信息性的更新 进行身份认证,这使得该协议被人 以一些不同的方式加以利用。当攻击者危害 DNS 服务器并 明确地更改主机名-IP 地址映射表时,DNS 欺骗就会发生。这些改变被写入 DNS 服务器上的转换 表。因而,当一个客户机请求查询时,用户只能 得到这个伪造的地址,该地址是一个完全处于 攻击者控制下的机器的 IP 地址。因为网络上的主机都 信任 DNS 服务器,所以一个被破坏的 DNS 服务器可以将客户引导到非法的服务器,也可以欺骗服务器 相信一

47、个 IP 地址确实属于一个被 信任客户。 4 确保计算机网络安全的防范措施 4.1 网络系统结构设计合理与否是网络安全运行的关键 全面分析网络系统设计的每个环节是建立安全可靠的计算机网络工程的首要任务。应在认真 的基础 上下工夫抓好网络运行质量的设计方案。在总体设计时要注意以下几个问题:由于 局域网采用的是 以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅被两个 节点的网卡所接收,同 时也被处在同一以太网上的任何一个节点的网卡所截取。因此,只要 接入以太网上的任一节点进行 侦听,就可以捕获发生在这个以太网上的所有数据包,对其进 行解包分析,从而窃取关键信息。为 解除这个网络系统固有

48、的安全隐患,可采取以下措施: 网络分段技术的应用将从源头上杜绝网络 的安全隐患问题。因为局域网采用以交换机为 中心、以路由器为边界的网络传输格局,再加上基于 中心交换机的访问控制功能和三层交换 功能 ,所以采取物理分段与逻辑分段两种,来实现对局域网 的安全控制,其目的就是将非 法用户与敏感的网络资源相互隔离,从而防止非法侦听,保证信息的 安全畅通;以交换式 集线器代替共享式集线器的方式将不失为解除隐患的又一方法。 4.2 强化计算机管理是网络系统安全的保证 4.2.1 加强设施管理,确保计算机网络系统实体安全。建立健全安全管理制度,防止非 法用户进入计 算机控制室和各种非法行为的发生;注重在保

49、护计算机系统、网络服务器、打 印机等外部设备和能 信链路上狠下工夫,并不定期的对运行环境条件(温度、湿度、清洁度 、三防措施、供电接头、志线 及设备)进行检查、测试和维护;着力改善抑制和防止电磁泄 漏的能力,确保计算机系统有一个良好 的电磁兼容的工作环境。 4.2.2 强化访问控制,力促计算机网络系统运行正常。访问控制是网络安全防范和保护 的主要措施, 它的任务是保证网络资源不被非法用户使用和非常访问,是网络安全最重要的 核心策略之一。 4.3 建立入网访问功能模块 入网访问控制为网络提供了第一层访问控制。它允许哪些用户可以登录到网络服务器并获取 网络资 源,控制准许用户入网的时间和准许他们在哪台工作站入网。 用户的入网访问控制可分为3个过程:用户名的识别与验证;用户口令的识别与验证;用户 账号的检 查。在3个过程中如果其中一个不能成立,系统就视为

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 实用文档资料库 > 竞赛试题

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。