時間:2023-03-20 16:23:18
序論:速發表網結合其深厚的文秘經驗,特別為您篩選了11篇防火墻技術論文范文。如果您需要更多原創資料,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識!
1.引言
防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互連環境之中,尤以Internet網絡為最甚。Internet的迅猛發展,使得防火墻產品在短短的幾年內異軍突起,很快形成了一個產業:1995年,剛剛面市的防火墻技術產品市場量還不到1萬套;到1996年底,就猛增到10萬套;據國際權威商業調查機構的預測,防火墻市場將以173%的復合增長率增長,今年底將達到150萬套,市場營業額將從1995年的1.6億美元上升到今年的9.8億美元。
為了更加全面地了解Internet防火墻及其發展過程,特別是第四代防火墻的技術特色,我們非常有必要從產品和技術角度對防火墻技術的發展演變做一個詳細的考察。
2.Internet防火墻技術簡介
防火墻原是指建筑物大廈用來防止火災蔓延的隔斷墻。從理論上講,Internet防火墻服務也屬于類似的用來防止外界侵入的。它可以防止Internet上的各種危險(病毒、資源盜用等)傳播到你的網絡內部。而事實上,防火墻并不像現實生活中的防火墻,它有點像古代守護城池用的護城河,服務于以下多個目的:
1)限定人們從一個特定的控制點進入;
2)限定人們從一個特定的點離開;
3)防止侵入者接近你的其他防御設施;
4)有效地阻止破壞者對你的計算機系統進行破壞。
在現實生活中,Internet防火墻常常被安裝在受保護的內部網絡上并接入Internet,如圖1所示。
圖1防火墻在Internet中的位置
從上圖不難看出,所有來自Internet的傳輸信息或你發出的信息都必須經過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統間進行信息交換等安全的作用。從邏輯上講,防火墻是起分隔、限制、分析的作用,這一點同樣可以從圖1中體會出來。那么,防火墻究竟是什么呢?實際上,防火墻是加強Internet(內部網)之間安全防御的一個或一組系統,它由一組硬件設備(包括路由器、服務器)及相應軟件構成。3.防火墻技術與產品發展的回顧
防火墻是網絡安全策略的有機組成部分,它通過控制和監測網絡之間的信息交換和訪問行為來實現對網絡安全的有效管理。從總體上看,防火墻應該具有以下五大基本功能:
過濾進、出網絡的數據;
管理進、出網絡的訪問行為;
封堵某些禁止行為;
記錄通過防火墻的信息內容和活動;
對網絡攻擊進行檢測和告警。
為實現以上功能,在防火墻產品的開發中,人們廣泛地應用了網絡拓撲、計算機操作系統、路由、加密、訪問控制、安全審計等成熟或先進的技術和手段??v觀防火墻近年來的發展,可以將其劃分為如下四個階段(即四代)。
3.1基于路由器的防火墻
由于多數路由器本身就包含有分組過濾功能,故網絡訪問控制可能通過路控制來實現,從而使具有分組過濾功能的路由器成為第一代防火墻產品。第一代防火墻產品的特點是:
1)利用路由器本身對分組的解析,以訪問控制表(AccessList)方式實現對分組的過濾;
2)過濾判斷的依據可以是:地址、端口號、IP旗標及其他網絡特征;
3)只有分組過濾的功能,且防火墻與路由器是一體的。這樣,對安全要求低的網絡可以采用路由器附帶防火墻功能的方法,而對安全性要求高的網絡則需要單獨利用一臺路由器作為防火墻。
第一代防火墻產品的不足之處十分明顯,具體表現為:
路由協議十分靈活,本身具有安全漏洞,外部網絡要探尋內部網絡十分容易。例如,在使用FTP協議時,外部服務器容易從20號端口上與內部網相連,即使在路由器上設置了過濾規則,內部網絡的20號端口仍可以由外部探尋。
路由器上分組過濾規則的設置和配置存在安全隱患。對路由器中過濾規則的設置和配置十分復雜,它涉及到規則的邏輯一致性。作用端口的有效性和規則集的正確性,一般的網絡系統管理員難于勝任,加之一旦出現新的協議,管理員就得加上更多的規則去限制,這往往會帶來很多錯誤。
路由器防火墻的最大隱患是:攻擊者可以“假冒”地址。由于信息在網絡上是以明文方式傳送的,黑客(Hacker)可以在網絡上偽造假的路由信息欺騙防火墻。
路由器防火墻的本質缺陷是:由于路由器的主要功能是為網絡訪問提供動態的、靈活的路由,而防火墻則要對訪問行為實施靜態的、固定的控制,這是一對難以調和的矛盾,防火墻的規則設置會大大降低路由器的性能。
可以說基于路由器的防火墻技術只是網絡安全的一種應急措施,用這種權宜之計去對付黑客的攻擊是十分危險的。
3.2用戶化的防火墻工具套
為了彌補路由器防火墻的不足,很多大型用戶紛紛要求以專門開發的防火墻系統來保護自己的網絡,從而推動了用戶防火墻工具套的出現。
作為第二代防火墻產品,用戶化的防火墻工具套具有以下特征:
1)將過濾功能從路由器中獨立出來,并加上審計和告警功能;
2)針對用戶需求,提供模塊化的軟件包;
3)軟件可以通過網絡發送,用戶可以自己動手構造防火墻;
4)與第一代防火墻相比,安全性提高了,價格也降低了。
由于是純軟件產品,第二代防火墻產品無論在實現上還是在維護上都對系統管理員提出了相當復雜的要求,并帶來以下問題:
配置和維護過程復雜、費時;
對用戶的技術要求高;
全軟件實現,使用中出現差錯的情況很多。
3.3建立在通用操作系統上的防火墻
基于軟件的防火墻在銷售、使用和維護上的問題迫使防火墻開發商很快推出了建立在通用操
作系統上的商用防火墻產品。近年來市場上廣泛使用的就是這一代產品,它們具有如下一些
特點:
1)是批量上市的專用防火墻產品;
2)包括分組過濾或者借用路由器的分組過濾功能;
3)裝有專用的系統,監控所有協議的數據和指令;
4)保護用戶編程空間和用戶可配置內核參數的設置;
5)安全性和速度大大提高。
第三代防火墻有以純軟件實現的,也有以硬件方式實現的,它們已經得到了廣大用戶的認同
。但隨著安全需求的變化和使用時間的推延,仍表現出不少問題,比如:
1)作為基礎的操作系統及其內核往往不為防火墻管理者所知,由于源碼的保密,其安全性
無從保證;
2)由于大多數防火墻廠商并非通用操作系統的廠商,通用操作系統廠商不會對操作系統的
安全性負責;
3)從本質上看,第三代防火墻既要防止來自外部網絡的攻擊,還要防止來自操作系統廠商
的攻擊;
4)在功能上包括了分組過濾、應用網關、電路級網關且具有加密鑒別功能;
5)透明性好,易于使用。
4.第四代防火墻的主要技術及功能
第四代防火墻產品將網關與安全系統合二為一,具有以下技術功能。
4.1雙端口或三端口的結構
新一代防火墻產品具有兩個或三個獨立的網卡,內外兩個網卡可不做IP轉化而串接于內部與外部之間,另一個網卡可專用于對服務器的安全保護。
4.2透明的訪問方式
以前的防火墻在訪問方式上要么要求用戶做系統登錄,要么需要通過SOCKS等庫路徑修改客戶機的應用。第四代防火墻利用了透明的系統技術,從而降低了系統登錄固有的安全風險和出錯概率。
4.3靈活的系統
系統是一種將信息從防火墻的一側傳送到另一側的軟件模塊,第四代防火墻采用了兩種機制:一種用于從內部網絡到外部網絡的連接;另一種用于從外部網絡到內部網絡的連接。前者采用網絡地址轉接(NIT)技術來解決,后者采用非保密的用戶定制或保密的系統技術來解決。
4.4多級過濾技術
為保證系統的安全性和防護水平,第四代防火墻采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒IP地址;在應用級網關一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所有通用服務;在電路網關一級,實現內部主機與外部站點的透明連接,并對服務的通行實行嚴格控制。
4.5網絡地址轉換技術
第四代防火墻利用NAT技術能透明地對所有內部地址做轉換,使得外部網絡無法了解內部網絡的內部結構,同時允許內部網絡使用自己編的IP源地址和專用網絡,防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。
4.6Internet網關技術
由于是直接串聯在網絡之中,第四代防火墻必須支持用戶在Internet互聯的所有服務,同時還要防止與Internet服務有關的安全漏洞,故它要能夠以多種安全的應用服務器(包括FTP、Finger、mail、Ident、News、WWW等)來實現網關功能。為確保服務器的安全性,對所有的文件和命令均要利用“改變根系統調用(chroot)”做物理上的隔離。
在域名服務方面,第四代防火墻采用兩種獨立的域名服務器:一種是內部DNS服務器,主要處理內部網絡和DNS信息;另一種是外部DNS服務器,專門用于處理機構內部向Internet提供的部分DNS信息。
在匿名FTP方面,服務器只提供對有限的受保護的部分目錄的只讀訪問。在WWW服務器中,只支持靜態的網頁,而不允許圖形或CGI代碼等在防火墻內運行。在Finger服務器中,對外部訪問,防火墻只提供可由內部用戶配置的基本的文本信息,而不提供任何與攻擊有關的系統信息。SMTP與POP郵件服務器要對所有進、出防火墻的郵件做處理,并利用郵件映射與標頭剝除的方法隱除內部的郵件環境。Ident服務器對用戶連接的識別做專門處理,網絡新聞服務則為接收來自ISP的新聞開設了專門的磁盤空間。
4.7安全服務器網絡(SSN)
為了適應越來越多的用戶向Internet上提供服務時對服務器的需要,第四代防火墻采用分別保護的策略對用戶上網的對外服務器實施保護,它利用一張網卡將對外服務器作為一個獨立網絡處理,對外服務器既是內部網絡的一部分,又與內部網關完全隔離,這就是安全服務器網絡(SSN)技術。而對SSN上的主機既可單獨管理,也可設置成通過FTP、Tnlnet等方式從內部網上管理。
SSN方法提供的安全性要比傳統的“隔離區(DMZ)”方法好得多,因為SSN與外部網之間有防火墻保護,SSN與風部網之間也有防火墻的保護,而DMZ只是一種在內、外部網絡網關之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內部網絡仍會處于防火墻的保護之下,而一旦DMZ受到破壞,內部網絡便暴露于攻擊之下。4.8用戶鑒別與加密
為了減低防火墻產品在Tnlnet、FTP等服務和遠程管理上的安全風險,鑒別功能必不可少。第四代防火墻采用一次性使用的口令系統來作為用戶的鑒別手段,并實現了對郵件的加密。
4.9用戶定制服務
為了滿足特定用戶的特定需求,第四代防火墻在提供眾多服務的同時,還為用戶定制提供支持,這類選項有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶需要建立一個數據庫的,便可以利用這些支持,方便設置。
4.10審計和告警
第四代防火墻產品采用的審計和告警功能十分健全,日志文件包括:一般信息、內核信息、核心信息、接收郵件、郵件路徑、發送郵件、已收消息、已發消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站、FTP、出站、郵件服務器、名服務器等。告警功能會守住每一個TCP或UDP探尋,并能以發出郵件、聲響等多種方式報警。
此外,第四代防火墻還在網絡診斷、數據備份保全等方面具有特色。
5.第四代防火墻技術的實現方法
在第四代防火墻產品的設計與開發中,安全內核、系統、多級過濾、安全服務器、鑒別與加密是關鍵所在。
5.1安全內核的實現
第四代防火墻是建立在安全操作系統之上的,安全操作系統來自對專用操作系統的安全加固和改造,從現在的諸多產品看,對安全操作系統內核的固化與改造主要從以下幾個方面進行:
1)取消危險的系統調用;
2)限制命令的執行權限;
3)取消IP的轉發功能;
4)檢查每個分組的接口;
5)采用隨機連接序號;
6)駐留分組過濾模塊;
7)取消動態路由功能;
8)采用多個安全內核。
5.2系統的建立
防火墻不允許任何信息直接穿過它,對所有的內外連接均要通過系統來實現,為保證整個防火墻的安全,所有的都應該采用改變根目錄方式存在一個相對獨立的區域以安全隔離。
在所有的連接通過防火墻前,所有的要檢查已定義的訪問規則,這些規則控制的服務根據以下內容處理分組:
1)源地址;
2)目的地址;
3)時間;
4)同類服務器的最大數量。
所有外部網絡到防火墻內部或SSN的連接由進站處理,進站要保證內部主機能夠了解外部主機的所有信息,而外部主機只能看到防火墻之外或SSN的地址。
所有從內部網絡SSN通過防火墻與外部網絡建立的連接由出站處理,出站必須確保完全由它代表內部網絡與外部地址相連,防止內部網址與外部網址的直接連接,同時還要處理內部網絡SSN的連接。
5.3分組過濾器的設計
作為防火墻的核心部件之一,過濾器的設計要盡量做到減少對防火墻的訪問,過濾器在調用時將被下載到內核中執行,服務終止時,過濾規則會從內核中消除,所有的分組過濾功能都在內核中IP堆棧的深層運行,極為安全。分組過濾器包括以下參數。
1)進站接口;
2)出站接口;
3)允許的連接;
4)源端口范圍;
5)源地址;
6)目的端口的范圍等。
對每一種參數的處理都充分體現設計原則和安全政策。
5.4安全服務器的設計
安全服務器的設計有兩個要點:第一,所有SSN的流量都要隔離處理,即從內部網和外部網而來的路由信息流在機制上是分離的;第二,SSN的作用類似于兩個網絡,它看上去像是內部網,因為它對外透明,同時又像是外部網絡,因為它從內部網絡對外訪問的方式十分有限。
SSN上的每一個服務器都隱蔽于Internet,SSN提供的服務對外部網絡而言好像防火墻功能,由于地址已經是透明的,對各種網絡應用沒有限制。實現SSN的關鍵在于:
1)解決分組過濾器與SSN的連接;
2)支持通過防火墻對SSN的訪問;
3)支持服務。
5.5鑒別與加密的考慮
鑒別與加密是防火墻識別用戶、驗證訪問和保護信息的有效手段,鑒別機制除了提供安全保護之外,還有安全管理功能,目前國外防火墻產品中廣泛使用令牌鑒別方式,具體方法有兩種一種是加密卡(CryptoCard);另一種是SecureID,這兩種都是一次性口令的生成工具。
對信息內容的加密與鑒別則涉及加密算法和數字簽名技術,除PEM、PGP和Kerberos外,目前國外防火墻產品中尚沒有更好的機制出現,由于加密算法涉及國家信息安全和,各國有不同的要求。
6.第四代防火墻的抗攻擊能力
作為一種安全防護設備,防火墻在網絡中自然是眾多攻擊者的目標,故抗攻擊能力也是防火墻的必備功能。在Internet環境中針對防火墻的攻擊很多,下面從幾種主要的攻擊方法來評估第四代防火墻的抗攻擊能力。
6.1抗IP假冒攻擊
IP假冒是指一個非法的主機假冒內部的主機地址,騙取服務器的“信任”,從而達到對網絡的攻擊目的。由于第四代防火墻已經將網內的實際地址隱蔽起來,外部用戶很難知道內部的IP地址,因而難以攻擊。
6.2抗特洛伊木馬攻擊
特洛伊木馬能將病毒或破壞性程序傳入計算機網絡,且通常是將這些惡意程序隱蔽在正常的程序之中,尤其是熱門程序或游戲,一些用戶下載并執行這一程序,其中的病毒便會發作。第四代防火墻是建立在安全的操作系統之上的,其內核中不能執行下載的程序,故而可以防止特洛伊木馬的發生。必須指出的是,防火墻能抗特洛伊木馬的攻擊并不表明其保護的某個主機也能防止這類攻擊。事實上,內部用戶可以通過防火墻下載程序,并執行下載的程序。
6.3抗口令字探尋攻擊
在網絡中探尋口令的方法很多,最常見的是口令嗅探和口令解密。嗅探是通過監測網絡通信,截獲用戶傳給服務器的口令字,記錄下來,以便使用;解密是指采用強力攻擊、猜測或截獲含有加密口令的文件,并設法解密。此外,攻擊者還常常利用一些常用口令字直接登錄。
第四代防火墻采用了一次性口令字和禁止直接登錄防火墻措施,能夠有效防止對口令字的攻擊。
6.4抗網絡安全性分析
網絡安全性分析工具是提供管理人員分析網絡安全性之用的,一旦這類工具用作攻擊網絡的手段,則能夠比較方便地探測到內部網絡的安全缺陷和弱點所在。目前,SATA軟件可以從網上免費獲得,InternetScanner可以從市面上購買,這些分析工具給網絡安全構成了直接的威脅。第四代防火墻采用了地址轉換技術,將內部網絡隱蔽起來,使網絡安全分析工具無法從外部對內部網絡做分析。
6.5抗郵件詐騙攻擊
郵件詐騙也是越來越突出的攻擊方式,第四代防火墻不接收任何郵件,故難以采用這種方式對它攻擊,同樣值得一提的是,防火墻不接收郵件,并不表示它不讓郵件通過,實際上用戶仍可收發郵件,內部用戶要防郵件詐騙,最終的解決辦法是對郵件加密。
7.防火墻技術展望
伴隨著Internet的飛速發展,防火墻技術與產品的更新步伐必然會加強,而要全面展望防火墻技術的發展幾乎是不可能的。但是,從產品及功能上,卻又可以看出一些動向和趨勢。下面諸點可能是下一步的走向和選擇:
1)防火墻將從目前對子網或內部網管理的方式向遠程上網集中管理的方式發展。
2)過濾深度會不斷加強,從目前的地址、服務過濾,發展到URL(頁面)過濾、關鍵字過濾和對ActiveX、Java等的過濾,并逐漸有病毒掃描功能。
3)利用防火墻建立專用網是較長一段時間用戶使用的主流,IP的加密需求越來越強,安全協議的開發是一大熱點。
4)單向防火墻(又叫做網絡二極管)將作為一種產品門類而出現。
元數據是指與數據相關的數據,也就是數據特性的數據信息。元數據可以對數據進行標記等操作,進而幫助數據生產者或者使用者更加高效的對數據進行管理和維護。對元數據進行處理如查詢和檢索等可以幫助用戶更好的了解數據,確定獲得的數據是否與需求相符,是否需要對現有數據進行交換或傳輸等。
(二)數據倉庫技術
信息技術的發展使得信息網絡中傳輸和存儲的信息量越來越大、越來越復雜,如何對海量的數據信息進行科學高效管理,降低有用信息的獲取難度是數據倉庫技術的出發點之一。應用數據倉庫相關技術如關系數據庫、分布式數據處理、并行式數據處理等可以將海量的數據轉換和集成為條理清晰的、準確可靠的信息資料,供用戶進行信息查詢、數據統計等。此外,數據倉庫技術還可為數據管理人員在不了解數據庫結構和不同數據間相互關系的情況下進行數據挖掘提供了可能。
(三)數據挖掘技術
目前的數據庫系統雖可對信息進行錄入、查詢或統計,但在處理和發掘不同數據之間的關系,分析未來發展趨勢等方面存在諸多不足。這就要求對龐大的數據信息進行挖掘。
(四)人工智能網絡信息檢索技術
隨著信息網絡規模的擴大和信息數據量的增長,如果僅僅依靠人工篩選很難達到預期效果,人工智能網絡信息技術可以對人工特性進行模擬,但是又不失計算機技術的高效性和快速性,可以根據待解決的復雜問題進行信息檢索和數據分析,進而向用戶提供相應的,較為準確的檢索分析結果。
二計算機信息網絡中的安全防護類關鍵技術分析
完整的計算機信息網絡分為7個層次,對應的網絡安全防護需要對每一層進行部署,但是實際應用中可根據TCP/IP協議,將安全防護簡化為四個主要的層次,分別為物理層、鏈路層、網絡層以及應用層。對信息網絡的安全防護應該實現以下幾方面內容。首先是對網絡訪問用戶和訪問數據的控制與審查。即根據用戶權限和數據權限確定對應關系,建立訪問控制體系,只有符合要求的用戶才能夠對網絡信息進行訪問或修改,這樣可以增大惡意攻擊發生的難度。其次是建立多層防御體系。一方面要對通信數據進行加密和認證,防止數據信息傳輸過程中受到竊取或修改;另一方面做好信息監控管理,設立一套完整的信息安全監控體系,建立數據備份和恢復機制,確保網絡受到攻擊時還能夠最大程度保存數據的可恢復性。
(一)防火墻技術
防火墻技術是在內部網絡與外部網絡之間建立一個信息安全策略,根據該策略確定內外網絡之間的通信是否被允許。當前安全級別最高的防火墻技術是隱蔽智能網關技術,該技術可以防止針對防火墻的惡意攻擊還能夠向用戶提供最大限度的網絡訪問,對未授權的訪問、未經過認證的用戶、以及不符合安全策略的信息數據進行阻止或拒絕。
1.1計算機防火墻技術
防火墻對計算機網絡保護作用的實現是通過將內部網絡與互聯網分開來實現的,具有相當強的隔離性。在防火墻的使用上,通常都是依靠包的源地址和數據包協議等進行設置的。此外,防火墻的實現途徑還有服務器的軟件這種形式,不過使用頻率相對少一些。防火墻在過去比較長的時間里,它的主要目的除了限制主機之外,再就是規范網絡訪問控制,功能相對單一和簡單,不過,隨著近些年網絡技術的不斷更新和完善,防火墻的功能越來越豐富了,集成了信息的解密、加密等多種功能,另外還具有壓縮機解壓這種新的功能,計算機網絡的安全性因此得到了非常大的提高。
1.2防火墻的主要功能
防火墻的功能是比較多的,最主要的是以下幾個方面:首先,對本機的數據進行篩選和過濾,這樣可以有效避免非法信息及各種網絡病毒的攻擊和侵入,另外防火墻還可以對網絡中部分特殊站點進行嚴格規范,這樣可以有效避免因相關人員的無意操作所帶來的網絡風險。其次,防火墻能夠比較徹底地攔截不安全訪問,外部人員如果想進入內部網,必須先經過防火墻的審查,只有審查合格了才能夠進入,在這一個環節中,那些不安全的訪問用戶就會被過濾掉,大大降低了網絡安全的風險。再次,防火墻能夠很好地保存網絡運行中產生的各種信息數據,當它發現網絡中出現威脅網絡安全的非法活動時,能夠在第一時間發出警報,并采取針對性的措施[3]。
計算機的網絡安全攻擊。計算機的網絡安全是數據運行的重要任務,同時也是防火墻的重點內容。計算機的發展在時代的變遷中更加廣泛,但同時運行過程中的威脅也會影響到計算機的使用。例如:數據方面、環境威脅、外力破壞、拒絕服務、程序攻擊、端口破壞等。計算機網絡的主體就是數據,在數據的運行中如果存在漏洞會給網絡安全帶來很大的隱患,比如在節點數據處若是進行攻擊篡改會直接破壞數據的完整性,攻擊者往往會選擇數據內容進行操作、對其進行攻擊泄露,還可植入木馬病毒等,使得網絡安全成為了問題;環境是網絡運行的基礎,用戶在使用訪問時會使用到網絡環境,而環境卻是開放共享的,攻擊者可以對網絡環境內的數據包進行處理,將攻擊帶入內網以破壞內網的防護功能;外力破壞主要就是木馬、病毒的攻擊,攻擊者可以利用網站和郵箱等植入病毒,攻擊使用者的計算機,導致網絡系統故障;拒絕服務是攻擊者利用系統的漏洞給計算機發送數據包,使得主機癱瘓不能使用任何服務,主要是由于計算機無法承擔高負荷的數據存儲因而休眠,無法對用戶的請求作出反應;程序攻擊是指攻擊者應用輔助程序攻入程序內部,進而毀壞文件數據等;端口攻擊卻是攻擊者從硬性的攻擊路徑著手,使得安全系統出現問題。以上的各種網絡安全問題都需要使用防火墻技術,以減少被攻擊的次數和程度,保證用戶的數據及文件等的安全。
二、網絡安全中的防火墻技術
(一)防火墻技術的基本概念
防火墻技術是保護內部網絡安全的一道屏障,它是由多種硬件設備和軟件的組合,是用來保障網絡安全的裝置。主要是根據預設的條件對計算機網絡內的信息和數據進行監控,然后授權以及限制服務,再記錄相關信息進行分析,明確每一次信息的交互以預防攻擊。它具有幾種屬性:所以的信息都必須要經過防火墻、只有在受到網絡安全保護的允許下才能通過它、并且能夠對網絡攻擊的內容和信息進行記錄并檢測、而且它自身能夠免疫各種攻擊。防火墻有各種屬性,能夠對安全防護的策略進行篩選并讓其通過、能夠記錄數據的信息并進行檢測,以便及時預警、還能夠容納計算機的整體的信息并對其進行維護。而防火墻常用技術主要分為:狀態檢測、應用型防火墻和包過濾技術。前者是以網絡為整體進行研究,分析數據流的信息并將其與網絡中的數據進行區分,以查找不穩定的因素,但是時效性差;應用型的是用來保障內外網連接時的安全,使得用戶在訪問外網時能夠更加的安全;包過濾技術就是將網絡層作為保護的對象,按計算機網絡的協議嚴格進行,以此來實現防護效果。
(二)防火墻的常用功能構件
它的常用功能構件主要是認證、訪問控制、完整、審計、訪問執行功能等。認證功能主要是對身份進行確認;訪問控制功能是能夠決定是否讓此次文件傳送經過防火墻到達目的地的功能,能夠防止惡意的代碼等;完整性功能是對傳送文件時的不被注意的修改進行檢測,雖然不能對它進行阻止,但是能進行標記,可以有效的防止基于網絡上的竊聽等;審計功能是能夠連續的記錄重要的系統事件,而重要事件的確定是由有效的安全策略決定的,有效的防火墻系統的所有的構件都需要統一的方式來記錄。訪問執行功能是執行認證和完整性等功能的,在通過這些功能的基礎上就能將信息傳到內網,這種功能能夠減少網絡邊界系統的開銷,使得系統的可靠性和防護能力有所提高。
三、防火墻的應用價值
防火墻在計算機網絡安全中的廣泛應用,充分的展現了它自身的價值。以下談論幾點:
(一)技術的價值
技術是防火墻技術中的一種,能夠為網絡系統提供服務,以便實現信息的交互功能。它是比較特殊的,能夠在網絡運行的各個項目中都發揮控制作用,分成高效。主要是在內外網信息交互中進行控制,只接受內網的請求而拒絕外網的訪問,將內外網進行分割,拒絕混亂的信息,但是它的構建十分復雜,使得應用不易。雖然防護能力強,在賬號管理和進行信息驗證上十分有效,但是因使用復雜而無法廣泛推廣。
(二)過濾技術的價值
過濾技術是防火墻的選擇過濾,能夠對數據進行全面的檢測,發現攻擊行為或者危險的因素時及時的斷開傳送,因而能夠進行預防并且有效控制風險信息的傳送,以確保網絡安全,這項技術不僅應用于計算機網絡安全,而且在路由器使用上也有重要的價值。
(三)檢測技術的價值
檢測技術主要應用于計算機網絡的狀態方面,它在狀態機制的基礎上運行,能夠將外網的數據作為整體進行準確的分析并將結果匯總記錄成表,進而進行對比。如今檢測技術廣泛應用于各層次網絡間獲取網絡連接狀態的信息,拓展了網絡安全的保護范圍,使得網絡環境能夠更加的安全。
四、總結
隨著計算機網絡的使用愈加廣泛,網絡安全問題也需要重視。而防火墻技術是計算機網絡安全的重要保障手段,科學的利用防火墻技術的原理,能夠更加合理的阻止各種信息或數據的泄露問題,避免計算機遭到外部的攻擊,確保網絡環境的安全。將防火墻技術應用于計算機的網絡安全方面能夠更加有效的根據實際的情況對網絡環境進行保護,發揮其自身的作用以實現保護計算機網絡安全的目的。
計算機碩士論文參考文獻
中圖分類號:TP393 文獻標識碼:A 文章編號:1006-4311(2012)18-0178-02
0 引言
一般來說,防火墻包括幾個不同的組成部分:過濾器(有時也稱屏蔽)用于阻斷一定類型的通信傳輸。網關是一臺或一組機器,它提供中繼服務,以補償過濾器的影響。駐有網關的網絡常被叫做非軍事區(DeMilitarized Zone,DMZ)。DMZ中的網關有時還由一個內部網關(internal gateway)協助工作。一般情況下,兩個網關通過內部過濾器到內部的連接比外部網關到其他內部主機的連接更為開放。就網絡通信而言,兩個過濾器或網關本身,都是可以省去的,詳細情況隨防火墻的變化而變化。一般說來,外部過濾器可用來保護網關免受攻擊,而內部過濾器用來應付一個網關遭到破壞后所帶來的后果,兩個過濾器均可保護內部網絡,使之免受攻擊。一個暴露的網關機器通常被叫做堡壘機。
防火墻可分成兩種主要類別:數據包過濾(packet filtering)和應用網關(application gateway)。
數據包過濾防火墻的工作方法是通過基于數據包的源地址、目的地址或端口來進行過濾的。一般說來,不保持前后連接信息,過濾決定也是根據當前數據包的內容來做的。管理員可以設計一個可接受機器和服務的列表,以及一個不可接受機器和服務的列表。在主機和網絡一級,利用數據包過濾器很容易實現允許或禁止訪問。例如,允許主機A和B之間的任何IP訪問,或禁止除A以外的任何機器訪問B。
大多數安全策略需要更為精細的控制:對根本不被信任的主機,需要定義容許它們訪問的服務。例如,可以希望允許任何主機與機器A連接,但僅限于發送或接收郵件。其他服務可以或不可以被允許。數據包過濾器允許在這一級別上進行某些控制,為了正確地做到這一點,要求精通許多操作系統上TCP和UDP端口的使用知識。包過濾防火墻的優點是速度快,缺點是不能對數據內容進行控制。
應用網關防火墻則是另一種方式,它不使用通用目標機制來允許各種不同種類的通信,而是針對每個應用使用專用目的代碼。雖然這樣做看來有些浪費,但卻比任何其他方法安全得多。一是不必擔心不同過濾規則集之間的交互影響,二是不必擔憂對外部提供安全服務的主機中的漏洞。只需仔細檢查選擇的數個程序。應用網關還有另一個優點:它易于記錄并控制所有的進/出通信,并對Internet的訪問做到內容級的過濾,所以是很安全的。應用級網關的最大缺點就是速度慢。
1 網絡的系統規劃與設計
根據用戶具體情況,規劃內網的環境,必要時使用多個網段。確定是否需要向外部Internet提供服務以及何種服務,由此確定是否需要DMZ網段以及DMZ網段的具體結構。根據內網、DMZ網的結構確定NetST■防火墻的具體連接方式,防火墻位置一般放在路由器之后,內網、DMZ網之前。設計系統的訪問控制規則,使防火墻起作用。
2 防火墻配置步驟建議
配置網絡結構,安裝NetST■防火墻硬件,使防火墻各網卡正確連接內網,外網和DMZ網。配置NetST■防火墻網絡參數使網絡連接正常,必要時需重啟NetST■防火墻。設計網絡安全策略,根據用戶具體情況設置安全選項、NAT規則、訪問控制的過濾規則、內容過濾規則等。啟動防火墻引擎,使規則起作用。
3 防火墻規則定義的一般步驟
NetST防火墻一般按下列步驟定義規則:
一般情況下,我們建議用戶按上面步驟進行規則配置,用戶也可以根據情況進行一定的調整和修改。
4 狀態檢測防火墻引擎
NetST防火墻引擎采用國際先進的狀態檢測包過濾技術,實時在線監測當前內外網絡的TCP連接狀態,根據連接狀態動態配置規則,對異常的連接狀態進行阻斷,實現入侵檢測并及時報警。NetST■防火墻支持對目前國際上主要的網絡攻擊方法的判別,并且進行有效阻斷。作為包過濾型防火墻, NetST防火墻為用戶提供強大的包過濾功能。NetST防火墻支持各種主流網絡協議,不僅可以根據網絡流量的類型、網絡地址、應用服務等條件進行過濾,并且可以對多種網絡入侵進行辨別和有效阻斷,同時實時進行記錄和報警;另外,NetST■防火墻與內置多種網絡對象的Java管理控制臺配合使用,可以更加充分發揮NetST■防火墻引擎的強大的包過濾功能。
4.1 全面安全防護 NetST防火墻具備抵御多種外來惡意攻擊的能力:
4.1.1 DoS(Deny of Service,拒絕服務)攻擊:此類型的攻擊方式包括SYN Flooding、LAND攻擊、Ping Flooding、Ping of Death、Teardrop/New Tear、IP碎片攻擊等,攻擊者對服務器不斷發各種類型的數據包使服務器的處理能力達到飽和,從而不能再接受正常的訪問。NetST■防火墻利用地址檢測、流量限制、碎片重組等方法進行防御;
4.1.2 IP欺騙:攻擊機器 C模擬被攻擊機器A信任的機器B與A通信,通常先通過DoS攻擊使B的網絡陷于癱瘓,然后再冒充B與A通信以執行對A造成危害的操作。防止IP欺騙的方法一是服務器不開危險服務,二是服務器的TCP連接的起始序列號要隨機選取,防止被猜,三是加強對DoS攻擊的防御。NetST■防火墻的防御方法是一是禁止外網到內網的連接請求,或只將允許的開放端口請求轉到DMZ區的服務器,同時DMZ區服務器盡量只開單一服務,并注意對系統軟件進行升級或打補?。?/p>
4.1.3 端口掃描:通過端口掃描,攻擊者可知道被攻擊的服務器上運行那些服務,從而對服務進行攻擊或利用某些服務的缺陷攻擊主機。NetST■防火墻利用網絡地址轉換(NAT)功能、TCP狀態檢測等方法進行防御;
4.1.4 IP盜用:在內網中的一臺機器通過修改IP地址模擬另一臺機器,從而NetST■防火墻使用基于用戶的認證使IP地址與用戶動態綁定以及IP地址與MAC地址綁定來進行預防。
4.2 全面內容過濾 NetST防火墻支持對最常用的應用層協議進行內容過濾,使用戶可以根據網絡傳輸的內容進行管理和控制,從而使企業網絡運行更加快速有效。NetST防火墻支持HTTP協議的URL過濾和HTML內容過濾。NetST■防火墻支持與WebCM■3000系列產品無縫集成,由NetST■防火墻提取出URL,然后與UFP服務器連接以確定是否允許此請求通過;同時,可過濾HTML頁面中的各種腳本和Java小程序;可拒絕各種媒體類型的數據,如圖像、聲頻、視頻等,以免浪費帶寬,降低工作效率;NetST防火墻支持FTP協議內容過濾,用戶可自行設定拒絕上載和下載的文件類型表,對此文件類型范圍內的文件傳送請求將被拒絕;
NetST防火墻支持主要郵件協議的內容過濾。對于SMTP協議,用戶可自行設定拒絕發的附件文件類型表,對此文件類型范圍內的附件發送請求將被拒絕;對于POP3協議,可自行設定危險的附件文件類型表,對此文件類型范圍內的附件收取將修改文件的后綴名以使其暫時失效,從而防止諸如“ILOVEYOU”等郵件病毒的攻擊。
在當前信息技術高速發展的情況下,好的反火槍技術不斷發展更新,設計該系統的過程中,我們也是在不斷的發現問題,解決問題。也發現了不少沒有能解決的新問題,比如延時的控制以及系統運行時的安全保障等新的問題。這需要在今后的工作中不斷的去努力,不斷地去研究逐漸解決。
參考文獻:
[1]張迅.基于SIP的IP視頻電話的設計與實現.華中科技大學碩士學位論文,2006:14-19.
[2]武海寧基于SIP/RTP的實用VOIP系統研究.北京郵電大學碩士學位論文,2007:17-23.
引言
21世紀全世界的計算機都將通過Internet聯到一起,信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防范,而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網絡社會的時候,我國將建立起一套完整的網絡安全體系,特別是從政策上和法律上建立起有中國自己特色的網絡安全體系。
一個國家的信息安全體系實際上包括國家的法規和政策,以及技術與市場的發展平臺。我國在構建信息防衛系統時,應著力發展自己獨特的安全產品,我國要想真正解決網絡安全問題,最終的辦法就是通過發展民族的安全產業,帶動我國網絡安全技術的整體提高。
網絡安全產品有以下幾大特點:第一,網絡安全來源于安全策略與技術的多樣化,如果采用一種統一的技術和策略也就不安全了;第二,網絡的安全機制與技術要不斷地變化;第三,隨著網絡在社會各方面的延伸,進入網絡的手段也越來越多,因此,網絡安全技術是一個十分復雜的系統工程。為此建立有中國特色的網絡安全體系,需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。
信息安全是國家發展所面臨的一個重要問題。對于這個問題,我們還沒有從系統的規劃上去考慮它,從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來電子化、信息化的發展將起到非常重要的作用。
1.防火墻概述:
1.1什么是防火墻
防火墻是建立在兩個網絡邊界上的實現安全策略和網絡通信監控的系統或系統集,它強制執行對內部網絡(如校園網)和外部網絡(如Internet)的訪問控制。
......
目錄
引言:
1.防火墻概述
1.1什么是防火墻
1.2防火墻的四大功能
2.防火墻的分類
2.1從防火墻的軟、硬件形式劃分
2.2按照防火墻防御方式劃分
2.3按防火墻結構劃分
3.防火墻的選擇
3.1總擁有成本
3.2防火墻本身是安全的
3.3管理與培訓
3.4可擴充性
3.5防火墻的安全性
4.防火墻的發展前景
4.1在包過濾中引入鑒別授權機制
4.2復變包過濾技術
4.3虛擬專用防火墻(VPF)
4.4多級防火墻
結尾語
參考資料
參考文獻:
(1)張炯明.安全電子商務使用技術.北京.清華大學出版社.2002.4
(2)吳應良.電子商務概論.廣州.華南理工大學出版社.2003.8
(3)游夢良,李冬華.企業電子商務模式.廣州.廣東人民大學出版社.2001.10
(4)祁明.電子商務安全與保密[M].北京.高等教育出版社.2001.10
關鍵詞:入侵檢測異常檢測誤用檢測
在網絡技術日新月異的今天,基于網絡的計算機應用已經成為發展的主流。政府、教育、商業、金融等機構紛紛聯入Internet,全社會信息共享已逐步成為現實。然而,近年來,網上黑客的攻擊活動正以每年10倍的速度增長。因此,保證計算機系統、網絡系統以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。
1 防火墻
目前防范網絡攻擊最常用的方法是構建防火墻。
防火墻作為一種邊界安全的手段,在網絡安全保護中起著重要作用。其主要功能是控制對網絡的非法訪問,通過監視、限制、更改通過網絡的數據流,一方面盡可能屏蔽內部網的拓撲結構,另一方面對內屏蔽外部危險站點,以防范外對內的非法訪問。然而,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時無法阻止入侵者的攻擊。
(2)防火墻不能阻止來自內部的襲擊。調查發現,50%的攻擊都將來自于網絡內部。
(3)由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。畢業論文 而這一點,對于層出不窮的網絡攻擊技術來說是至關重要的。
因此,在Internet入口處部署防火墻系統是不能確保安全的。單純的防火墻策略已經無法滿足對安全高度敏感部門的需要,網絡的防衛必須采用一種縱深的、多樣化的手段。
由于傳統防火墻存在缺陷,引發了入侵檢測IDS(Intrusion Detection System)的研究和開發。入侵檢測是防火墻之后的第二道安全閘門,是對防火墻的合理補充,在不影響網絡性能的情況下,通過對網絡的監測,幫助系統對付網絡攻擊,擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高信息安全基礎結構的完整性,提供對內部攻擊、外部攻擊和誤操作的實時保護?,F在,入侵檢測已經成為網絡安全中一個重要的研究方向,在各種不同的網絡環境中發揮重要作用。
2 入侵檢測
2.1 入侵檢測
入侵檢測是通過從計算機網絡系統中的若干關鍵點收集信息并對其進行分析,從中發現違反安全策略的行為和遭到攻擊的跡象,并做出自動的響應。其主要功能是對用戶和系統行為的監測與分析、系統配置和漏洞的審計檢查、重要系統和數據文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統計分析、操作系統的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵,在可能造成系統損壞或數據丟失之前,識別并驅除入侵者,使系統迅速恢復正常工作,并且阻止入侵者進一步的行動。同時,收集有關入侵的技術資料,用于改進和增強系統抵抗入侵的能力。
入侵檢測可分為基于主機型、基于網絡型、基于型三類。從20世紀90年代至今,英語論文 已經開發出一些入侵檢測的產品,其中比較有代表性的產品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2 檢測技術
入侵檢測為網絡安全提供實時檢測及攻擊行為檢測,并采取相應的防護手段。例如,實時檢測通過記錄證據來進行跟蹤、恢復、斷開網絡連接等控制;攻擊行為檢測注重于發現信息系統中可能已經通過身份檢查的形跡可疑者,進一步加強信息系統的安全力度。入侵檢測的步驟如下:
收集系統、網絡、數據及用戶活動的狀態和行為的信息
入侵檢測一般采用分布式結構,在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息,一方面擴大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現象或發生入侵行為。
入侵檢測所利用的信息一般來自以下4個方面:系統和網絡日志文件、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式的入侵信息。
(2)根據收集到的信息進行分析
常用的分析方法有模式匹配、統計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,從而發現違背安全策略的行為。
統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統的行為進行比較。當觀察值超出正常值范圍時,就有可能發生入侵行為。該方法的難點是閾值的選擇,閾值太小可能產生錯誤的入侵報告,閾值太大可能漏報一些入侵事件。
完整性分析主要關注某個文件或對象是否被更改,包括文件和目錄的內容及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3 分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測,查出系統的入侵者或合法用戶對系統資源的濫用和誤用。工作總結 根據不同的檢測方法,將入侵檢測分為異常入侵檢測(Anomaly Detection)和誤用人侵檢測(Misuse Detection)。
3.1 異常檢測
又稱為基于行為的檢測。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統或用戶的“正?!毙袨樘卣鬏喞?,通過比較當前的系統或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發生了入侵。此方法不依賴于是否表現出具體行為來進行檢測,是一種間接的方法。
常用的具體方法有:統計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網絡異常檢測方法、基于模式預測異常檢測方法、基于神經網絡異常檢測方法、基于機器學習異常檢測方法、基于數據采掘異常檢測方法等。
采用異常檢測的關鍵問題有如下兩個方面:
(1)特征量的選擇
在建立系統或用戶的行為特征輪廓的正常模型時,選取的特征量既要能準確地體現系統或用戶的行為特征,又能使模型最優化,即以最少的特征量就能涵蓋系統或用戶的行為特征。(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準,因此,參考閾值的選定是非常關鍵的。
閾值設定得過大,那漏警率會很高;閾值設定的過小,則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。
中圖分類號: TU198 文獻標識碼: A
一.引言
隨著社會經濟的發展,建筑工程建設得到了前所未有的發展,建筑工程項目的數量日益增多,同時出現的各種建筑工程事故也在增加。建筑工程的結構設計是保證工程質量的關鍵,防火防爆設計直接影響著工程項目的實用性,甚至關系著人民的生命財產安全。因此,為了提高建筑工程的質量,保障人民的生命財產安全,降低國家的經濟損失,我們必須要加強對建筑工程防火防爆設計的研究,提高設計的安全性。
二.對工業建筑進行防火防爆設計需考慮的問題。
建筑消防設計是建筑設計中一個重要組成部分,關系到人民生命財產安全,應該引起大家的足夠重視。文章從防火分區、安全疏散以及防爆泄壓三方面來討論:
(1). 建筑的防火分區問題。
《建規》中規定了廠房及倉庫的的防火分區,其中有一點需要注意,廠房及倉庫的防火分區首先受該建筑物生產類別影響,其次還和建筑物的耐火等級有關。雖然《建規》中規定封閉樓梯間的門為雙向彈簧門就可以了,但做為劃分防火分區用的封閉樓梯間門至少應設乙級防火門。否則樓梯間也是火災縱向蔓延的途徑之一,也應按上下連通層作為一個防火分區計算面積。
(2). 安全疏散設計問題。
很多大型工業建筑在消防安全疏散設計中存在的問題,諸如首層疏散樓梯無法直通室外,設備及管道布置錯綜復雜致使人員逃生路線迂回曲折,疏散距離超過規范要求等。在設計中應合理設置安全疏散通道,并使疏散通道兩側的隔墻耐火極限≥lh(非燃材料),房間內最遠工作點的疏散距離應考慮設備及管道布置的影響等等。
(3)防爆泄壓應注意的問題
首先,不同用途的廠房有不同的廠房爆炸危險等級,進而根據規范采取相應級別的泄壓比。第二,要避免建筑物內有爆炸危險的部位形成長細比過大的空間,以防止爆炸時產生較大超壓,保證所設計的泄壓面積能有效。第三,泄壓方向要避開人員疏散通道及重要設施。
三.工業廠房防火防爆設計要點。
有爆炸危險的廠房,一旦發生爆炸,不但會造成房倒人亡,設備摧毀,生產停頓,甚至引起相鄰廠房或設施連鎖爆炸、次生火災。因此,從廠房設計起,就應考慮防爆抗爆措施。消防部門也應加強對此類廠房的審核,嚴格把關,將隱患消滅在源頭。因此在設計爆炸危險廠房時應注意把握以下幾個方面:
1.平面布局設計。
規模較大的工廠和倉庫,應根據實際需要,合理劃分生產區、儲存區、生產輔助設施區和行政辦公、生活福利區等。同一生產企業內,宜盡量將火災危險性相同或相近的建筑集中布置,以便分別采取防火防爆設施,便于安全管理。在選址時,應注意周圍環境,充分考慮建廠地區的企業和居民安全。注意地勢條件,應根據產品的性質,優先選取有利地形,減少危險性,減少對周圍環境的火災威脅。注意風向,散發可燃氣體、可燃蒸汽和可燃粉塵的車間、裝置,應布置在廠區的全年主導風向的下風向。
2.建筑耐火等級。
建筑物耐火等級。劃分建筑物耐火等級是建筑設計防火規范中規定的防火技術措施中最基本的措施。它要求建筑物在火災高溫的持續作用下,墻、柱、梁、樓板、屋蓋、吊頂等基本建筑構件,能在一定的時間內不破壞,不傳播火災,從而起到延緩和阻止火災蔓延的作用,并為人員疏散、搶救物資和撲滅火災以及為火災后結構修復創造條件。
3.防火墻和防火門及防火間距。
根據在建筑物中的位置和構造形式,有與屋脊方向垂直的橫向防火墻、與屋脊方向平行的縱向防火墻、內墻防火墻、外墻防火墻和獨立防火墻等。內防火墻是把廠房或庫房劃分成防火單元,可以阻止火勢在建筑物內的蔓延擴展;外防火墻是鄰近兩幢建筑物的防火間距不足而設置的無門窗洞的外墻,或兩幢建筑物之間的室外獨立防火墻。已采取防火分割的相鄰區域如需要互相通行時,可在中間設置防火門。按燃燒性能不同有非燃燒體防火門和難燃燒體防火門;按開啟方式不同有平開門和卷簾門等。
火災發生時,由于強烈的熱輻射、熱對流以及燃燒物質的爆炸飛濺、拋向空中形成飛火,能使鄰近甚至遠處建筑物形成新的起火點。為阻止火勢向相鄰建筑物蔓延擴散,應保證建筑物之間的防火間距。
4.工業建筑防爆。
在一些工業建筑中,使用和產生的可燃氣體、可燃蒸氣、可燃粉塵等物質能夠與空氣形成爆炸危險性的混合物,遇到火源就能引起爆炸。這種爆炸能夠在瞬間以機械功的形式釋放出巨大的能量,使建筑物、生產設備遭到毀壞,造成人員傷亡。對于上述有爆炸危險的工業建筑,為了防止爆炸事故的發生,減少爆炸事故造成的損失,要從建筑平面與空間布置、建筑構造和建筑設施方面采取防火防爆措施。首先,此類建筑以獨立設置,并宜采用敞開或半敞開式,承重結構多采用鋼筋混凝土或鋼框架、排架結構。第二,要加強與其貼臨建造建筑物的保護,根據需要將兩者之間的隔墻設置為防火墻或防爆墻。第三,有爆炸危險的甲、乙類廠房(倉庫)應設置足夠有效的泄壓設施,以減少爆炸帶來的損失。當建筑物長細比大于3時,宜將該建筑劃分為長細比小于等于3的多個計算段來計算所需泄壓面積,且各計算段中的公共截面不得作為泄壓面積。另外,位于寒冷及嚴寒地區的有爆炸危險的建筑物屋頂上所設的泄壓設施還應考慮采取有效防止冰雪積聚的措施。
5. 設置防爆門斗
設置防爆門斗是解決交通和防爆的有力措施,第一道門宜采用防爆門,才能達到防爆的效果。但防爆門均采用特殊鋼材制作,其連接轉動部件和防止門與門框碰撞產生火花,門鉸鏈應采用青銅軸和墊圈或其他摩擦碰撞不發火材料制作,門扇周邊貼橡膠板,防止碰撞產生火花。防爆門斗內要有一定的容積,保證當門打開時瞬時進入門斗的可燃氣體濃度降低,兩門布置應在不同方位上,間距200以上。防爆門斗也是爆炸危險部位的安全出口,其位置應滿足安全疏散距離的要求。
四.結束語
隨著人們生活水平的提高,對生命財產的安全性要求也在不斷提高。建筑安全保障問題在人們心中的地位越來越高,經濟性建立在安全性的基礎之上,只有保證了建筑結構的安全性,才能夠考慮建筑工程施工的經濟性和適用性。在正常的情況下,建筑工程首先要具備良好的工作性能,進而為社會創造出良好的經濟效益。進而有效提高建筑結構的安全性能,促進建筑工程建設的發展,促進建筑業的發展。
參考文獻:
[1] 李海 防爆防火設計在工業建筑中的應用 [期刊論文] 《黑龍江科技信息》 -2012年2期
防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,以保護內部網絡操作環境的特殊網絡互聯設備。它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許。
從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務。盡管如此,事情沒有我們想象的完美,攻擊我們的是人,不是機器,聰明的黑客們總會想到一些辦法來突破防火墻。
一、包過濾型防火墻的攻擊
包過濾技術是一種完全基于網絡層的安全技術,只能根據Packet的來源、目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意入侵。
包過濾防火墻是在網絡層截獲網絡Packet,根據防火墻的規則表,來檢測攻擊行為。根據Packet的源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口來過濾。所以它很容易受到如下攻擊。
(一)ip欺騙
如果修改Packet的源,目的地址和端口,模仿一些合法的Packet就可以騙過防火墻的檢測。如:我將Packet中的源地址改為內部網絡地址,防火墻看到是合法地址就會放行。
這種攻擊應該怎么防范呢?
如果防火墻能結合接口,地址來匹配,這種攻擊就不能成功了。
eth1連接外部網絡,eth2連接內部網絡,所有源地址為內網地址的Packet一定是先到達eth2,我們配置eth1只接受來自eth2的源地址為內網地址的Packet,那么這種直接到達eth1的偽造包就會被丟棄。
(二)分片偽造
分片是在網絡上傳輸IP報文時采用的一種技術手段,但是其中存在一些安全隱患。Ping of Death, teardrop等攻擊可能導致某些系統在重組分片的過程中宕機或者重新啟動。這里我們只談談如何繞過防火墻的檢測。
在IP的分片包中,所有的分片包用一個分片偏移字段標志分片包的順序,但是,只有第一個分片包含有TCP端口號的信息。當IP分片包通過分組過濾防火墻時,防火墻只根據第一個分片包的Tcp信息判斷是否允許通過,而其他后續的分片不作防火墻檢測,直接讓它們通過。
工作原理弄清楚了,我們來分析:從上面可以看出,我們如果想穿過防火墻只需要第一個分片,也就是端口號的信息符合就可以了。
那我們先發送第一個合法的IP分片,將真正的端口號封裝在第二個分片中,那樣后續分片包就可以直接穿透防火墻,直接到達內部網絡主機,通過我的實驗,觀察攻擊過程中交換的數據報片斷,發現攻擊數據包都是只含一個字節數據的報文,而且發送的次序已經亂得不可辨別,但對于服務器TCP/IP堆棧來說,它還是能夠正確重組的。
二、NAT防火墻的攻擊
這里其實談不上什么攻擊,只能說是穿過這種防火墻的技術,而且需要新的協議支持,因為這種方法的是為了讓兩個不同NAT后面的p2p軟件用戶可以不通過端口映射直接進行連接,我們稱為UDP打洞技術。
UDP打洞技術允許在有限的范圍內建立連接。STUN(The Simple Traversal of User Datagram Protocol through Network Address Translators)協議實現了一種打洞技術可以在有限的情況下允許對NAT行為進行自動檢測然后建立UDP連接。在UDP打洞技術中,NAT分配的外部端口被發送給協助直接連接的第三方。在NAT后面的雙方都向對方的外部端口發送一個UDP包,這樣就在NAT上面創建了端口映射,雙方就此可以建立連接。一旦連接建立,就可以進行直接的UDP通信了。
但是UDP連接不能夠持久連接。UDP是無連接的并且沒有對誰明確的通信。一般地,NAT見了的端口映射,如果一段時間不活動后就是過期。為了保持UDP端口映射,必須每隔一段時間就發送UDP包,就算沒有數據的時候,只有這樣才能保持UDP通信正常。另外很多防火墻都拒絕任何的外來UDP連接。
由于各方面原因,這次沒有對建立TCP的連接做研究,估計是能連接的。
三、防火墻的攻擊
防火墻運行在應用層,攻擊的方法很多。這里就以WinGate為例。 WinGate是以前應用非常廣泛的一種Windows95/NT防火墻軟件,內部用戶可以通過一臺安裝有WinGate的主機訪問外部網絡,但是它也存在著幾個安全脆弱點。
黑客經常利用這些安全漏洞獲得WinGate的非授權Web、Socks和Telnet的訪問,從而偽裝成WinGate主機的身份對下一個攻擊目標發動攻擊。因此,這種攻擊非常難于被跟蹤和記錄。
導致WinGate安全漏洞的原因大多數是管理員沒有根據網絡的實際情況對WinGate防火墻軟件進行合理的設置,只是簡單地從缺省設置安裝完畢后就讓軟件運行,這就讓攻擊者可從以下幾個方面攻擊:
(一)非授權Web訪問
某些WinGate版本(如運行在NT系統下的2.1d版本)在誤配置情況下,允許外部主機完全匿名地訪問因特網。因此,外部攻擊者就可以利用WinGate主機來對Web服務器發動各種Web攻擊( 如CGI的漏洞攻擊等),同時由于Web攻擊的所有報文都是從80號Tcp端口穿過的,因此,很難追蹤到攻擊者的來源。
檢測WinGate主機是否有這種安全漏洞的方法如下:
(1)以一個不會被過濾掉的連接(譬如說撥號連接)連接到因特網上。
(2)把瀏覽器的服務器地址指向待測試的WinGate主機。
如果瀏覽器能訪問到因特網,則WinGate主機存在著非授權Web訪問漏洞。
(二)非授權Socks訪問
在WinGate的缺省配置中,Socks(1080號Tcp端口)同樣是存在安全漏洞。與打開的Web(80號Tcp端口)一樣,外部攻擊者可以利用Socks訪問因特網。
轉貼于
(三)非授權Telnet訪問
它是WinGate最具威脅的安全漏洞。通過連接到一個誤配置的WinGate服務器的Telnet服務,攻擊者可以使用別人的主機隱藏自己的蹤跡,隨意地發動攻擊。
檢測WinGate主機是否有這種安全漏洞的方法如下:
1)使用telnet嘗試連接到一臺WinGate服務器。
[root@happy/tmp]#telnet172.29.11.191
Trying172.29.11.191….
Connectedto172.29.11.191.
Escapecharacteris'^]'.
Wingate>10.50.21.5
2)如果接受到如上的響應文本,那就輸入待連接到的網站。
3)如果看到了該新系統的登錄提示符,那么該服務器是脆弱的。
Connectedtohost10.50.21.5…Connected
SunOS5.6
Login:
其實只要我們在WinGate中簡單地限制特定服務的捆綁就可以解決這個問題。
四、監測型防火墻的攻擊
一般來說,完全實現了狀態檢測技術防火墻,智能性都比較高,普通的掃描攻擊還能自動的反應。但是這樣智能的防火墻也會受到攻擊!
(一)協議隧道攻擊
協議隧道的攻擊思想類似與VPN的實現原理,攻擊者將一些惡意的攻擊Packet隱藏在一些協議分組的頭部,從而穿透防火墻系統對內部網絡進行攻擊。
比如說,許多簡單地允許ICMP回射請求、ICMP回射應答和UDP分組通過的防火墻就容易受到ICMP和UDP協議隧道的攻擊。Loki和lokid(攻擊的客戶端和服務端)是實施這種攻擊的有效的工具。在實際攻擊中,攻擊者首先必須設法在內部網絡的一個系統上安裝上lokid服務端,而后攻擊者就可以通過loki客戶端將希望遠程執行的攻擊命令(對應IP分組)嵌入在ICMP或UDP包頭部,再發送給內部網絡服務端lokid,由它執行其中的命令,并以同樣的方式返回結果。
由于許多防火墻允許ICMP和UDP分組自由出入,因此攻擊者的惡意數據就能附帶在正常的分組,繞過防火墻的認證,順利地到達攻擊目標主機。
(二)利用FTP-pasv繞過防火墻認證的攻擊
FTP-pasv攻擊是針對防火墻實施入侵的重要手段之一。目前很多防火墻不能過濾這種攻擊手段。如CheckPoint的Firewall-1,在監視FTP服務器發送給客戶端的包的過程中,它在每個包中尋找“227”這個字符串。如果發現這種包,將從中提取目標地址和端口,并對目標地址加以驗證,通過后,將允許建立到該地址的TCP連接。
攻擊者通過這個特性,可以設法連接受防火墻保護的服務器和服務。
五、通用的攻擊方法
(一)木馬攻擊
反彈木馬是對付防火墻的最有效的方法。攻擊者在內部網絡的反彈木馬定時地連接外部攻擊者控制的主機,由于連接是從內部發起的,防火墻(任何的防火墻)都認為是一個合法的連接,因此基本上防火墻的盲區就是這里了。防火墻不能區分木馬的連接和合法的連接。
說一個典型的反彈木馬,目前變種最多有“毒王”之稱的“灰鴿子”,該木馬由客戶端主動連接服務器,服務器直接操控。非常方便。
(二)d.o.s拒絕服務攻擊
簡單的防火墻不能跟蹤 tcp的狀態,很容易受到拒絕服務攻擊,一旦防火墻受到d.o.s攻擊,它可能會忙于處理,而忘記了自己的過濾功能。簡單的說明兩個例子。
Land(Land Attack)攻擊:在Land攻擊中,黑客利用一個特別打造的SYN包,它的源地址和目標地址都被設置成某一個服務器地址進行攻擊。此舉將導致接受服務器向它自己的地址發送SYN-ACK消息,結果這個地址又發回ACK消息并創建一個空連接,每一個這樣的連接都將保留直到超時,在Land攻擊下,許多UNIX將崩潰,NT變得極其緩慢。
IP欺騙DOS攻擊:這種攻擊利用TCP協議棧的RST位來實現,使用IP欺騙,迫使服務器把合法用戶的連接復位,影響合法用戶的連接。假設現在有一個合法用戶(a.a.a.a)已經同服務器建立了正常的連接,攻擊者構造攻擊的TCP數據,偽裝自己的IP為a.a.a.a,并向服務器發送一個帶有RST位的TCP數據段。服務器接收到這樣的數據后,認為從a.a.a.a發送的連接有錯誤,就會清空緩沖區中已建立好的連接。這時,合法用戶a.a.a.a再發送合法數據,服務器就已經沒有這樣的連接了,該用戶就被拒絕服務而只能重新開始建立新的連接。
六、結論
我們必須承認以現在的防火墻技術,無法給我們一個相當安全的網絡。網絡中是沒有百分之百安全的,由于我們面對的黑客都屬于聰明的高技術性計算機專家,攻擊時的變數太大,所以網絡安全不可能單靠防火墻來實現,只可能通過不斷完善策略、協議等根本因素才行。
在防火墻目前還不算長的生命周期中,雖然問題不斷,但是,它也在科學家的苦心經營下不斷自我完善,從單純地攔截一次來自黑客的惡意進攻,逐步走向安全事件管理及安全信息管理的大路,并將最終匯入網絡安全管理系統的大海,這應該是一種歷史的必然。一旦防火墻把網絡安全管理當作自我完善的終極目的,就等同于將發展的方向定位在了網絡安全技術的制高點,如果成功,防火墻將成為未來網絡安全技術中不可缺少的一部分。
參考文獻
[1]W.Richard As.TCP/IP詳解 卷一:協議[M].機械工業出版社,2000.
[2]黎連業,張維.防火墻及其應用技術[M].北京:清華大學,2004.
一、引言
信息科技的迅速發展,Internet已成為全球重要的信息傳播工具??萍颊撐?。據不完全統計,Internet現在遍及186個國家,容納近60萬個網絡,提供了包括600個大型聯網圖書館,400個聯網的學術文獻庫,2000種網上雜志,900種網上新聞報紙,50多萬個Web網站在內的多種服務,總共近100萬個信息源為世界各地的網民提供大量信息資源交流和共享的空間。信息的應用也從原來的軍事、科技、文化和商業滲透到當今社會的各個領域,在社會生產、生活中的作用日益顯著。傳播、共享和自增殖是信息的固有屬性,與此同時,又要求信息的傳播是可控的,共享是授權的,增殖是確認的。因此在任何情況下,信息的安全和可靠必須是保證的。
二、局域網的安全現狀
目前的局域網基本上都采用以廣播為技術基礎的以太網,任何兩個節點之間的通信數據包,不僅為這兩個節點的網卡所接收,也同時為處在同一以太網上的任何一個節點的網卡所截取??萍颊撐?。因此,黑客只要接入以太網上的任一節點進行偵聽,就可以捕獲發生在這個以太網上的所有數據包,對其進行解包分析,從而竊取關鍵信息,這就是以太網所固有的安全隱患。事實上,Internet上許多免費的黑客工具,如SATAN、ISS、NETCAT等等,都把以太網偵聽作為其最基本的手段。
三、局域網安全技術
1、采用防火墻技術。防火墻是建立在被保護網絡與不可信網絡之間的一道安全屏障,用于保護內部網絡和資源。它在內部和外部兩個網絡之間建立一個安全控制點,對進、出內部網絡的服務和訪問進行控制和審計。防火墻產品主要分為兩大類:
包過濾防火墻(也稱為網絡層防火墻)在網絡層提供較低級別的安全防護和控制。
應用級防火墻(也稱為應用防火墻)在最高的應用層提供高級別的安全防護和控制。
2、網絡分段。網絡分段通常被認為是控制網絡廣播風暴的一種基本手段,但其實也是保證網絡安全的一項重要措施。其目的就是將非法用戶與敏感的網絡資源相互隔離,從而防止可能的非法偵聽,網絡分段可分為物理分段和邏輯分段兩種方式。
目前,海關的局域網大多采用以交換機為中心、路由器為邊界的網絡格局,應重點挖掘中心交換機的訪問控制功能和三層交換功能,綜合應用物理分段與邏輯分段兩種方法,來實現對局域網的安全控制。例如:在海關系統中普遍使用的DECMultiSwitch900的入侵檢測功能,其實就是一種基于MAC地址的訪問控制,也就是上述的基于數據鏈路層的物理分段。
3、以交換式集線器代替共享式集線器。對局域網的中心交換機進行網絡分段后,以太網偵聽的危險仍然存在。這是因為網絡最終用戶的接入往往是通過分支集線器而不是中心交換機,而使用最廣泛的分支集線器通常是共享式集線器。這樣,當用戶與主機進行數據通信時,兩臺機器之間的數據包(稱為單播包UnicastPacket)還是會被同一臺集線器上的其他用戶所偵聽。用戶TELNET到一臺主機上,由于TELNET程序本身缺乏加密功能,用戶所鍵入的每一個字符(包括用戶名、密碼等重要信息),都將被明文發送,這就給黑客提供了機會。因此,應該以交換式集線器代替共享式集線器,使單播包僅在兩個節點之間傳送,從而防止非法偵聽。
4、VLAN的劃分。運用VLAN(虛擬局域網)技術,將以太網通信變為點到點通信,防止大部分基于網絡偵聽的入侵。目前的VLAN技術主要有三種:基于交換機端口的VLAN、基于節點MAC地址的VLAN和基于應用協議的VLAN?;诙丝诘腣LAN雖然稍欠靈活,但卻比較成熟,在實際應用中效果顯著,廣受歡迎?;贛AC地址的VLAN為移動計算提供了可能性,但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基于協議的VLAN,理論上非常理想,但實際應用卻尚不成熟。
在集中式網絡環境下,我們通常將中心的所有主機系統集中到一個VLAN里,在這個VLAN里不允許有任何用戶節點,從而較好地保護敏感的主機資源。在分布式網絡環境下,我們可以按機構或部門的設置來劃分VLAN。各部門內部的所有服務器和用戶節點都在各自的VLAN內,互不侵擾。VLAN內部的連接采用交換實現,而VLAN與VLAN之間的連接則采用路由實現。
5、隱患掃描。一個計算機網絡安全漏洞有它多方面的屬性,主要可以用以下幾個方面來概括:漏洞可能造成的直接威脅、漏洞的成因、漏洞的嚴重性和漏洞被利用的方式。漏洞檢測和入侵檢測系統是網絡安全系統的一個重要組成部分,它不但可以實現復雜煩瑣的信息系統安全管理,而且還可以從目標信息系統和網絡資源中采集信息,分析來自網絡外部和內部的入侵信號和網絡系統中的漏洞,有時還能實時地對攻擊做出反應。漏洞檢測就是對重要計算機信息系統進行檢查,發現其中可被黑客利用的漏洞。這種技術通常采用兩種策略,即被動式策略和主動式策略。被動式策略是基于主機的檢測,對系統中不合適的設置、脆弱的口令以及其他同安全規則相抵觸的對象進行檢查;而主動式策略是基于網絡的檢測,通過執行一些腳本文件對系統進行攻擊,并記錄它的反應,從而發現其中的漏洞。漏洞檢測的結果實際上就是系統安全性能的一個評估,它指出了哪些攻擊是可能的,因此成為安全方案的一個重要組成部分。入侵檢測和漏洞檢測系統是防火墻的重要補充,并能有效地結合其他網絡安全產品的性能,對網絡安全進行全方位的保護??萍颊撐?。
四、網絡安全制度
1、組織工作人員認真學習《計算機信息網絡國際互聯網安全保護管理辦法》,提高工作人員的維護網絡安全的警惕性和自覺性。
2、負責對本網絡用戶進行安全教育和培訓,使用戶自覺遵守和維護《計算機信息網絡國際互聯網安全保護管理辦法》,使他們具備基本的網絡安全知識。
3、實時監控網絡用戶的行為,保障網絡設備自身和網上信息的安全。
4、對已經發生的網絡破壞行為在最短的時間內做出響應,使損失減少到最低限度。
五、結束語
網絡的開放性決定了局域網安全的脆弱性,而網絡技術的不斷飛速發展,又給局域網的安全管理增加了技術上的不確定性,目前有效的安全技術可能很快就會過時,在黑客和病毒面前不堪一擊。因此,局域網的安全管理不僅要有切實有效的技術手段,嚴格的管理制度,更要有知識面廣,具有學習精神的管理人員。
參考文獻
Abstracts: In recent years, computer network access to the rapid development of network security issues will become a focus of attention. This paper analyzes the main factors affecting network security, focuses on several commonly used network information security technology. 中圖分類號:TN711文獻標識碼:A 文章編號:計算機網絡安全是指利用網絡管理控制和技術措施,保證在一個網絡環境里,數據的保密性、完整性及可使用性受到保護。計算機網絡安全包括兩個方面,即物理安全和邏輯安全。物理安全指系統設備及相關設施受到物理保護,免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。 隨著計算機網絡的不斷發展,全球信息化已成為人類發展的大趨勢。但由于計算機網絡具有聯結形式多樣性、互連性等特征,加上安全機制的缺乏和防護意識不強,致使網絡易受黑客、惡意軟件和其他不軌行為的攻擊,所以網絡信息的安全和保密是一個至關重要的問題。 一、威脅網絡安全的主要因素 影響計算機網絡安全的因素有很多,威脅網絡安全則主要來自人為的無意失誤、人為的惡意功擊和網絡軟件系統的漏洞以及“后門”三個方面的因素,歸納起來如下: 1.應用系統和軟件安全漏洞。WEB服務器和瀏覽器難以保障安全,最初人們引入CGI程序目的是讓主頁活起來,然而很多人在編CGI程序時對軟件包并不十分了解,多數人不是新編程序,而是對程序加以適當的修改,這樣一來,很多CGI程序就難免具有相同安全漏洞。且每個操作系統或網絡軟件的出現都不可能是完美無缺,因此始終處于一個危險的境地,一旦連接入網,就有可能成為功擊對象。 2.安全策略。安全配置不當造成安全漏洞,例如:防火墻軟件的配置不正確,那么它根本不起作用。許多站點在防火墻配置上無意識地擴大了訪問權限,忽視了這些權限可能會被其他人員濫用。網絡入侵的目的主要是取得使用系統的存儲權限、寫權限以及訪問其他存儲內容的權限,或者是作為進一步進入其他系統的跳板,或者惡意破壞這個系統,使其毀壞而喪失服務能力。對特定的網絡應用程序,當它啟動時,就打開了一系列的安全缺口,許多與該軟件捆綁在一起的應用軟件也會被啟用。除非用戶禁止該程序或對其進行正確配置,否則,安全隱患始終存在。 3.后門和木馬程序。在計算機系統中,后門是指軟、硬件制作者為了進行非授權訪問而在程序中故意設置的訪問口令,但也由于后門的存大,對處于網絡中的計算機系統構成潛在的嚴重威脅。木馬是一類特殊的后門程序,是一種基于遠程控制的黑客工具,具有隱蔽性和非授權性的特點;如果一臺電腦被安裝了木馬服務器程序,那么黑客就可以使用木馬控制器程序進入這臺電腦,通過命令服務器程序達到控制電腦目的。 4.病毒。目前數據安全的頭號大敵是計算機病毒,它是編制者在計算機程序中插入的破壞計算機功能或數據,影響硬件的正常運行并且能夠自我復制的一組計算機指令或程序代碼。它具有病毒的一些共性,如:傳播性、隱蔽性、破壞性和潛伏性等等,同時具有自己的一些特征,如:不利用文件寄生(有的只存在于內存中),對網絡造成拒絕服務以及和黑客技術相結合等。 5.黑客。黑客通常是程序設計人員,他們掌握著有關操作系統和編程語言的高級知識,并利用系統中的安全漏洞非法進入他人計算機系統,其危害性非常大。從某種意義上講,黑客對信息安全的危害甚至比一般的電腦病毒更為嚴重。 二、常用的網絡安全技術 1.殺毒軟件技術。殺毒軟件是我們計算機中最為常見的軟件,也是用得最為普通的安全技術方案,因為這種技術實現起來最為簡單,但我們都知道殺毒軟件的主要功能就是殺毒,功能比較有限,不能完全滿足網絡安全的需要。這種方式對于個人用戶或小企業基本能滿足需要,但如果個人或企業有電子商務方面的需求,就不能完全滿足了,值得欣慰的是隨著殺毒軟件技術的不斷發展,現在的主流殺毒軟件同時對預防木馬及其它的一些黑客程序的入侵有不錯的效果。還有的殺毒軟件開發商同時提供了軟件防火墻,具有了一定防火墻功能,在一定程度上能起到硬件防火墻的功效,如:360、金山防火墻和Norton防火墻等。
2.防火墻技術。防火墻技術是指網絡之間通過預定義的安全策略,對內外網通信強制實施訪問控制的安全應用措施。防火墻如果從實現方式上來分,又分為硬件防火墻和軟件防火墻兩類,我們通常意義上講的硬防火墻為硬件防火墻,它是通過硬件和軟件的結合來達到隔離內外部網絡的目的,價格較貴,但效果較好,一般小型企業和個人很難實現;軟件防火墻它是通過純軟件的方式來達到,價格很便宜,但這類防火墻只能通過一定的規則來達到限制一些非法用戶訪問內部網的目的。然而,防火墻也并非人們想象的那樣不可滲透。在過去的統計中曾遭受過黑客入侵的網絡用戶有三分之一是有防火墻保護的,也就是說要保證網絡信息的安全還必須有其他一系列措施,例如:對數據進行加密處理。需要說明的是防火墻只能抵御來自外部網絡的侵擾,而對企業內部網絡的安全卻無能為力,要保證企業內部網的安全,還需通過對內部網絡的有效控制和來實現。 3.數據加密技術。與防火墻配合使用的安全技術還有文件加密與數字簽名技術,它是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部竊取,偵聽或破壞所采用的主要技術手段之一。按作用不同,文件加密和數字簽名技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。數據存儲加密技術是以防止在存儲環節上的數據失密為目的,可分為密文存儲和存取控制兩種;數據傳輸加密技術的目的是對傳輸中的數據流加密,常用的有線路加密和端口加密兩種方法;數據完整性鑒別技術的目的是對介入信息的傳送、存取、處理人的身份和相關數據內容進行驗證,達到保密的要求,系統通過對比驗證對象輸入的特征值是否符合預先設定的參數,實現對數據的安全保護。數據加密在許多場合集中表現為密匙的應用,密匙管理技術事實上是為了數據使用方便。密匙的管理技術包括密匙的產生、分配保存、更換與銷毀等各環節上的保密措施。 數據加密技術主要是通過對網絡數據的加密來保障網絡的安全可靠性,能夠有效地防止機密信息的泄漏。另外,它也廣泛地被應用于信息鑒別、數字簽名等技術中,用來防止欺騙,這對信息處理系統的安全起到極其重要的作用。 4.入侵檢測技術。網絡入侵檢測技術也叫網絡實時監控技術,它通過硬件或軟件對網絡上的數據流進行實時檢查,并與系統中的入侵特征數據庫等比較,一旦發現有被攻擊的跡象,立刻根據用戶所定義的動作做出反應,如切斷網絡連接,或通知防火墻系統對訪問控制策略進行調整,將入侵的數據包過濾掉等。因此入侵檢測是對防火墻有益的補充??稍诓挥绊懢W絡性能的情況下對網絡進行監聽,從而提供對內部攻擊、外部攻擊和誤操作的實時保護,大大提高了網絡的安全性。 5.網絡安全掃描技術。網絡安全掃描技術是檢測遠程或本地系統安全脆弱性的一種安全技術,通過對網絡的掃描,網絡管理員可以了解網絡的安全配置和運行的應用服務,及時發現安全漏洞,客觀評估網絡風險等級。利用安全掃描技術,可以對局域網絡、Web站點、主機操作系統、系統服務以及防火墻系統的安全漏洞進行服務,檢測在操作系統上存在的可能導致遭受緩沖區溢出攻擊或者拒絕服務攻擊的安全漏洞,還可以檢測主機系統中是否被安裝了竊聽程序、防火墻系統是否存在安全漏洞和配置錯誤。 網絡安全與網絡的發展戚戚相關,關系著IN-TERNET的進一步發展和普及。網絡安全不能僅依靠殺毒軟件、防火墻和漏洞檢測等硬件設備的防護,還應注重樹立人的計算機安全意識,才可能更好地進行防護,才能真正享受到網絡帶來的巨大便利。
[參考文獻] [1]顧巧論.計算機網絡安全[M].北京:清華大學出版社,2008.