防火墙技术的基本原理范文
时间:2023-11-14 17:38:10
导语:如何才能写好一篇防火墙技术的基本原理,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:VOIP;防火墙;STUN;入侵防护系统
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)32-1091-02
Reserch and Implementation of Security Technologies on VOIP System
ZHAO Jing
(Department of Computer and Electronics Engineering,University of Shanghai for Science and Technology,Shanghai 200093,China)
Abstract: In this article an analysis is made of the existing security concerns in VOIP system,then a series of methods and technologies are provided to protect VOIP application.In this way,the security of VOIP system will be enhanced.
Key words: VOIP; firewall; STUN; IPS
1 引言
VoIP也称为网络电话,它是在IP网络上通过TCP/IP协议实现的一种语音应用,这种应用包括PC对PC连接、PC对电话连接、电话对电话连接等。目前,全球市场包括中国已有相当大的一部分语音业务通过IP来传送,随着VoIP的广泛普及和应用,加强VoIP系统的安全性显得日益紧迫。
2 VoIP基本原理及技术
IP电话是建立在IP技术上的分组化、数字化传输技术,它将普通电话的模拟信号转换成可以在因特网上传送的IP数据包,同时也将收到的IP数据包转换成声音的模拟电信号,其基本原理是:通过语音压缩算法对语音数据进行压缩编码处理,然后把这些语音数据按IP等相关协议进行打包,经过IP网络把数据包传输到目的端,再把这些语音数据包组装起来,经过解码解压处理后,恢复成原来的语音信号,从而达到由IP网络传送语音的目的。
3 VoIP系统面临的安全威胁
下面分析一下VOIP系统可能面临的安全威胁,大致可以分为以下几类。
3.1 常规威胁
由于VoIP基于可同时承载语音、数据等的统一IP网络架构,语音和数据网络的融合增加了网络被攻击的风险,对数据网络的各种攻击手段都会出现在语音和数据融合的网络中。
3.2 VoIP特有的安全威胁
除了会遭遇上述的威胁外,VoIP系统还会遭遇以下这些与语音有关的主要威胁:
1) 产品本身易受攻击:VoIP基础设施需要添加专用交换机系统、网关、、注册和定位服务器以及拨打到IP骨干网的电话,对数据通信的攻击可通过IP语音基础设施进行。
2) 相关协议实现的漏洞:VoIP涉及大量协议,如SIP、H.323、MGCP等,这些复杂的协议会由于软件实现中的缺陷或错误而留下漏洞。
3) 信令协议篡改:恶意用户可以监控和篡改建立呼叫后传输的数据包。
4) IP电话被盗打:通过窃取使用者IP电话的登录密码能够获得话机的权限。
5) 流媒体侦听:VOIP存在通过对IP电话之间的RTP语音流窃取并重放的问题。
6) 呼叫黑洞:指未授权的拒绝通过VoIP传输,从而结束或阻止正在进行的信息交流。
4 可以采用的主要安全技术
在分析了VoIP系统可能受到的安全威胁之后,可以认识到加强VoIP系统安全的必要性和复杂性,可以采用下面介绍的这些主要技术和措施来保障VoIP系统的安全运行。
4.1 防火墙技术
传统防火墙其自身的特性对VoIP的部署是一个障碍,因为它丢弃所有从外到内未开放端口的连接请求,而VoIP采用动态端口传输语音和视频,若防火墙开放全部端口,意味着防火墙形同虚设;另外VoIP要求因特网上基于IP的资源是可预测、静态可用的,因而当防火墙利用NAT技术时,要使VoIP有效通过防火墙会较困难,因而必须采用一些新技术。
4.1.1 语音感知应用层网关(ALG)
应用层网关被设计成能够识别指定的协议(如H.323、SIP或MGCP等),它不是简单地察看包头信息来决定数据包是否可以通过,而是更深层的分析数据包载荷内的数据,也就是应用层的数据。采用这种技术可以使网络能够动态开放和关闭防火墙端口。
4.1.2 STUN (Simple Traversal of UDP Through NAT)
STUN是一种UDP流协议穿透NAT的协议,其解决NAT问题的思路如下:私网接入用户通过某种机制预先得到其地址对应在出口NAT上的对外地址,然后直接填写出口NAT上的对外地址,而不是私网内用户的私有IP地址,这样报文负载中的内容在经过NAT时就无需被修改了,只需按普通NAT流程转换报文头的IP地址即可,而此时负载中的IP地址信息和报文头地址信息是一致的。
4.1.3 TURN(Traversal Using Relay NAT)
TURN方式解决NAT问题的思路与STUN相似,采用TURN Server的地址和端口作为客户端对外的接收地址和端口,即私网用户发出的报文都要经过TURN Server进行Relay转发。这种应用方式除了具有STUN方式的优点外,还解决了STUN无法穿透对称NAT的问题
4.1.4 深度包检测技术
深度包检测技术以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术的规则集,决定如何处理数据包。通常深度包检测技术深入检查通过防火墙的每个数据包及其应用载荷,因为很多恶意行为可能隐藏在数据载荷中。
4.1.5 会话边界控制器(SBC)
SBC可以被看作支持VoIP的防火墙,它还可以修改IP包的包头,使IP包能够顺利通过网络边缘设备。SBC是一种“可识别应用层”的设备,可以识别第五层和第七层的消息,并且还可以处理第五层的众多会话信令协议,修改数据包头的地址,从而实现“远端防火墙穿越”。同时SBC可以通过对会话数目的限制,实现应用层防DOS攻击。
4.2 虚拟局域网(VLAN)技术
让语音和数据在不同的虚拟局域网上传输,把所有的VoIP电话放在单独的虚拟局域网上,并且使用不可路由的RFC 1918地址。防止VLAN间进行通信可缓解窃听电话的现象,还可为VoIP虚拟局域网赋予较高优先级。
4.3 加密技术
可以使用加密技术比如IPsec来保持VoIP的安全,加密还可以挫败需要对基础设施获得物理访问权的其他类型的攻击。
4.4 入侵防护系统(IPS)
IPS可以缓解从内部发动攻击这个问题。例如,利用SIP发送大量的“注册”请求会导致服务器无力处理请求,而如果IPS能够理解SIP,就可以检测这些攻击。
4.5 加强操作系统安全
支持VoIP的服务器一般运行在Linux、Windows等操作系统上,而这些操作系统又有着不同的漏洞和补丁需要完善。VoIP设备一般都放在机房内独立运行,不需要人为干预,但是这些设备出厂的时候,如果没有打上最新的补丁,就需要网管维护部门不断跟踪最新的安全信息或者和设备厂商保持联系,为这些骨干设备升级操作系统,避免遭到黑客的攻击,另外还要认真限制对它们的访问。
5 结束语
本文对VOIP应用过程中存在的主要安全威胁进行了研究和分析,并且针对这些安全威胁提出了一系列的解决方法和技术,通过对这些技术的合理应用可以极大的增强VOIP应用的安全性。
参考文献:
[1] Rosenberg J, Schulzrinne H, Camarillo G,et al. SIP:Session initiation protocol[EB/OL][S.L].IETF,2002,6.
[2] Lippmann R P,Cunningham R K.Improving Intrusion Detection Performance Using Keyword Selection and Neural puter Networks-the International Journal of Computer and Telecommunica- tions Networking,2000,34(4):597-603
篇2
关键词:防火墙;过滤包;控制列表;组网
中图分类号:TP393.02文献标识码:A
文章编号:1004-373X(2009)20-082-03
Achievement of ACL/Packet Filtering Skill Based on Accessing of Port Adduction
FENG Naiguang1,CHENG Xi2
(1.Sichuan Radio and TV University,Chengdu,610073,China;2.Anqing TV University,Anqing,246003,China)
Abstract:The purpose of this article is to do research on the skills of setting and achievement of the network firewall,which is to build the firewall in the control list with filtrating skill while accessing the port.The result comes out to be effectively controlling access of the outer network to the inner server through particular users.Meanwhile,the inner network could only access the outer network through the particular mainframe.The conclusion is that the firewall has increased its ability a lot to quarantine the virus with building this firewall with the above skill.This leads to the result that only very few inner users get virus attack,which shows that it has much stronger ability to quarantine the virus than the ordinary firewall.
Keywords:firewall;packet filtering;control lists;network construction
0 引 言
Internet的发展为政府结构、企事业单位带来了革命性的改革和开放。他们正努力利用Internet提高办事效率和市场反应速度,以便更具竞争力。但随之带来的负面效应之一是数据在传输过程中可能存在不安全的因素。网络安全成为当今最热门的话题之一,很多企、事业单位为了保障自身服务器或数据安全都采用了防火墙。随着科技的发展,防火墙也逐渐被大众所接受。这里研究的是防火墙中核心技术的实现,即组网配置中防火墙设计技术的实现。
1 防火墙及ACL/包过滤技术简介
1.1 防火墙的的概念、分类及功能
简单地说,防火墙的作用是在保护一个网络免受“不信任”网络的攻击的同时,保证两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征:经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。现代的防火墙体系不仅是一个“入口的屏障”,而且是几个网络的接入控制点,所有经过被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进入的关口。因此防火墙不但可以保护内部网络在Internet中的安全,同时还可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络中,所有的计算机之间是被认为“可信任的”,它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的“策略”进行互相的访问。现在的许多防火墙同时还具有一些其他特点,如进行身份鉴别,对信息进行安全(加密)处理等。
防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为两大类,即包过滤和应用。包过滤(Packet Filtering),作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。应用(Application Proxy),也叫应用网关(Application Gateway),它作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的程序,实现监视和控制应用层通信流的作用。实际应用中的网关通常由专用工作站实现。
1.2 ACL/包过滤概念
ACL(Access Control Lists,存取控制列表)是一套与文件相关的用户、组和模式项,此文件为所有可能的用户ID或组ID组合指定了权限。ACL初期仅在路由器上支持,目前已经扩展到三层交换机,部分最新的二层交换机如2950等也开始提供ACL支持。只不过支持的特性不是那么完善而已。在其他厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。
ACL的基本原理是使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
ACL/包过滤应用在路由器中,就为路由器增加了对数据包的过滤功能。ACL/包过滤实现对IP数据包的过滤,对路由器需要转发的数据包,先获取数据包的包头信息,包括IP层所承载的上层协议的协议号,数据包的源地址、目的地址、源端口和目的端口等,然后和设定的ACL 规则进行比较,根据比较的结果决定对数据包进行转发或者丢弃。
1.3 基于接口的ACL/包过滤技术
对路由器需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表(见图1)。
图1 ACL/包过滤工作过程
包过滤技术主要是设定一定的规则,控制数据包。路由器会根据设定的规则和数据包的包头信息比较,来决定是否允许这个数据包通过。
实现包过滤技术最核心内容就是访问控制列表。使用访问控制列表的目的主要是拒绝某些不希望的访问。此外访问控制列表具有区分数据包的能力。
访问控制列表按照数据包的特点,规定了一些规则,见图2。这些规则描述了具有一定特点的数据包,并且规定它们是被“允许”的还是被“禁止”的。这些规则的定义是按照数据包包头的特点定义的,例如可以这样定义:允许202.38.0.0/16网段的主机可以使用协议HTTP 访问129.10.10.1。禁止从202.110.0.0/16网段的所有访问。
图2 基于接口的访问控制列表规则
访问控制列表就可以提供这样的功能,它按照数据包的特点,规定了一些规则。
这些规则描述具有一定特点的数据包(例如所有源地址是202.10.10.0 地址段的数据包、所有使用 Telnet 访问的数据包等),并且规定它们是被“允许”的还是被“禁止”的。
这样可以将访问控制列表规则应用到路由器的接口,阻止一些非法的访问,同时并不影响合法用户的访问。访问控制列表提供了一种区分数据包种类的手段,它把各种数据包按照各自的特点区分成各种不同的种类,达到控制用户访问的目的。
用户可以通过 Internet 和外部网络进行联系,网络管理员都面临着一个问题,就是如何拒绝一些不希望的连接,同时又要保证合法用户进行的访问。
为了达到这样的效果,需要有一定的规则来定义哪些数据包是“合法”的(或者是可以允许访问),哪些是“非法”的(或者是禁止访问)。这些规则就是访问控制列表。
由于访问控制列表具有区分数据包的功能,因此,访问控制列表可以控制“什么样的数据包”,可以做什么样的事情。
例如,当企业内部网通过拨号方式访问 Internet,如果不希望所有的用户都可以拨号上网,就可以利用控制列表决定哪些主机可以触发拨号,以达到访问 Internet 的目的。
利用访问控制列表可以控制数据包的触发拨号,同样在IPSec(是一套用来通过公共IP网络进行安全通讯的协议格式,它包括数据格式协议、密钥交换和加密算法等)、地址转换等应用中,可以利用控制列表描述什么样的数据包可以加密,什么样的数据包可以地址转换等。
2 包过滤防火墙配置原理及配置实例
2.1 包过滤防火墙配置原理
包过滤防火墙的配置包括:允许或禁止防火墙;设置防火墙缺省过滤方式;设置包过滤防火墙分片报文检测开关;配置分片报文检测的上、下门限值;在接口上应用访问控制列表,使能或禁止包过滤防火墙,并在系统视图下进行配置,如表1所示。
表1 配置命令
操作命令
使能包过滤防火墙Firewall packet-filter enable
禁止包过滤防火墙Undo firewall packet-filter enable
系统缺省情况下,使能包过滤防火墙。
2.2 基于接口的ACL/包过滤防火墙典型配置实例
2.2.1 组网需求
以下通过一个公司配置防火墙的实例来说明防火墙的配置。
该公司通过一台 Quidway 安全网关的接口Ethernet1/0/0 访问Internet,安全网关与内部网通过以太网接口Ethernet0/0/0 连接。公司内部对外提供WWW,FTP和Telnet服务,公司内部子网为129.38.1.0,其中,内部FTP 服务器地址为129.38.1.1,内部Telnet 服务器地址为129.38.1.2,内部WWW服务器地址为129.38.1.3,公司对外地址为202.38.160.1。在安全网关上配置了地址转换,这样内部PC 机可以访问Internet,外部PC 可以访问内部服务器。通过配置防火墙,希望实现以下要求:
(1) 外部网络只有特定用户可以访问内部服务器;
(2) 内部网络只有特定主机可以访问外部网络。
现假定外部特定用户的 IP 地址为202.39.2.3。
2.2.2 组网图
图3为该包过滤防火墙组网配置图。
图3 包过滤防火墙组网配置图
2.2.3 配置步骤
第一步:在安全网关Quidway 上允许防火墙。
[Quidway] firewall packet-filter enable
第二步:设置防火墙缺省过滤方式为允许包通过。
[Quidway] firewall packet-filter default permit
第三步:创建访问控制列表3001。
[Quidway] ACL number 3001
第四步:配置规则允许特定主机访问外部网,允许内部服务器访问外部网。
[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.4 0
[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.1 0
[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.2 0
[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.3 0
[Quidway-ACL-adv-3001] rule deny ip
第五步:创建访问控制列表3002。
[Quidway] ACL number 3002
第六步: 配置规则允许特定用户从外部网访问内部服务器。
[Quidway-ACL-adv-3002] rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0
第七步:配置规则允许特定用户从外部网取得数据(只允许端口大于1024 的包)。
[Quidway-ACL-adv-3002] rule permit tcp destination 202.38.160.1 0
destination-port gt 1024
第八步:将规则3001 作用于从接口Ethernet0/0/0 进入的包。
[Quidway-Ethernet0/0/0] firewall packet-filter 3001 inbound
最后将规则3002 作用于从接口Ethernet1/0/0 进入的包。
[Quidway-Ethernet1/0/0] firewall packet-filter 3002 inbound
通过上述方法配置防火墙后,完全能达到外部网络只有特定用户可以访问内部服务器。内部网络只有特定主机可以访问外部网络的要求,并能有效识别欺诈型的IP地址。在实际应用过程中,该防火墙运行稳定,成本低廉,堵塞情况少,能对多数黑客攻击进行有效隔离。
3 结 语
随着网络应用的增加,对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。
另外,由于网络多媒体应用越来越普遍,它要求数据穿过防火墙所带来的延迟要足够小。因此为了使防火墙在接口处不造成数据堵塞,可使用专门的硬件处理网络数据流,比起ACL/包过滤的防火墙具有更好的性能,但成本较高,不利于普及。从执行速度的角度看来,基于网络处理器的防火墙也是基于软件的解决方案,它需要在很大程度上依赖于软件的性能,但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎,从而减轻了CPU的负担,该类防火墙的性能要比传统防火墙的性能好许多。
参考文献
[1]张玉芳,熊忠阳,赖芳,等.IPv6下基于病毒过滤防火墙的设计与实现[J].计算机科学,2009(4):108-111.
[2]刘鹏远.Windows平台通用个人防火墙的分析与设计[J].计算机工程,2009(6):114-116,119.
[3]刘益洪,陈林.基于防火墙的网络安全技术分析[J].通信工程, 2008(6):136-138.
[4]钟乐海.网络安全技术[M].北京:电子工业出版社,2007.
[5]王永彪,徐凯声.用包过滤技术实现个人防火墙[J].计算机安全,2005(5):21-22,26.
[6]刘建伟.联动型网络安全系统的设计与实现[J].科学技术与工程,2009(3):1 614-1 616.
[7]张连银.防火墙技术在网络安全中的应用[J].科技资讯,2007(9):188-190.
[8]唐成华,胡昌振,崔中杰.基于域的网络安全策略研究[J].计算机工程,2007(9):131-133.
篇3
关键词:计算机网络;实验;方案
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)02-0271-02
1 概述
教学定位:计算机网络定位为高等学校计算机核心基础课程,其教学目标是:使学生掌握计算机网络基本知识,了解计算机网络基本组成,掌握基本的网络管理和计算机系统安全设置方法,以及利用互联网进行信息获取、信息等各种网络应用及开发能力。
课程实施方案总体设计思想,学校的层次不同,学生专业不同,人才培养目标不同,课程教学内容、教学要求和教学目标也不相同。因此,计算机网络技术及应用课程应有不同的实施方案。可以从不同角度设计实施方案,例如:按学科划分、按课程内容划分等。对于“计算机网络技术及应用”课程,采用基于内容的实施方案设计方法,可以初步分成如下两大类:
1)以计算机网络原理和技术讲解为主的课程教学实施方案
主要内容:计算机网络技术基础知识,网络模拟与网络协议,网络设备的功能、组成及基本原理,网络管理,网络服务,网络应用开发等。
该实施方案主要针对重点高校的理工类学生,全面培养学生计算机网络技术的理解,提高计算机网络的应用水平,初步培养简单的网络应用开发能力。
2)以计算机网络技术及应用讲解为主的课程教学实施方案
主要内容:计算机网络基本概念,网络硬件基本功能、简单原理,计算机网络操作系统的简单配置,网络服务的应用,Internet应用以及计算机系统安全等方面。
该实施方案主要针对重点高校文科类学生、一般院校理工类学生、文科类学生,全面培养学生的计算机网络知识和计算机网络应用能力,特别是互联网应用能力。
2 教学内容的组织方式
对于计算机相关专业的计算机网络课程,最常用的内容组织方式是采用基于OSI七层模型的方式分层讲解。从内容的性质和认知顺序看,将知识单元组织成不同的知识模块,知识模块又可以分为基本原理、基本技能、网络协议三个认知层次,从而为课程内容简历一个清晰的知识框架。
3 实验教学设计
计算机网络技术及应用是一门实践性很强的课程,在日常的工作和生活中有着非常广泛的应用。因此,实践教学除了要对课程的理论知识进行应用验证外,还将选择大量实际中有可能遇到问题,特别是难点问题进行讲解,从而提高学生解决问题的能力。
3.1实验内容基本要求
对于课程内容的所涉及到的知识点,安排相应的实验验证所学的理论知识,关于计算机网络及应用课程中的实验设计,对应的实验内容和基本要求如表1所示。
3.2实验项目设计
实验名称:简洁明了的反映实验的核心内容
实验目的:实验预期达到的目标。采用了解/理解,掌握/会等词汇分条描述,也可用深入理解,熟练掌握等用词对目的进行强调。
实验类型:分为验证型、综合型、探究型三种类型
实验内容:实验的具体内容,分条描述
实验条件:实验所需的硬件设备、软件系统、网络环境
实验分析:给出设计该实验的出发点,问题分析,解题思路,实验难点分析等。
实验步骤:操作步骤和程序关键代码
实验拓展:在本实验的基础上的应用能力拓展,给出一个或几个待解决的问题,培养学生知识的灵活应用和迁移能力。
同时,还应该根据实验的实际情况,形式可分为单人实验、小组实验和教师演示实验。
3.3实验教学大纲
计算机网络技术及应用实验分成3个实验单元,每个实验单元包含若干实验项目,在项目设计和选取上遵循以下三条原则:
1) 结合理论教学,实验项目应该能够反映和验证课程所讲授的主要知识点,以加深学生对理论教学内容的理解,实现从原理到应用的知识迁移。
篇4
关键词:计算机网络;信息;安全
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2010) 16-0000-01
To Enhance Computer Network Information Security Measures
Chen Xin
(Shandong Tengzhou City People's Hospital,Tengzhou277500,China)
Abstract:Based on the information security of computer network, analysis of main factors,from the vulnerability scanning,intrusion detection,firewall and data encryption,and so on,to enhance computer network information security measures.
Keywords:Computer network;Information;Security
随着科技信息的高速发展,计算机网络得到了广泛的应用。然而,计算机网络分布范围广,具有体系开放的特点。同时,由于网络的脆弱性和复杂性,容易受到入侵者的攻击。计算机网络的安全防护面临着严重的威胁。因此,为了维护计算机、服务器和局域网资源的信息安全,我们必须建立一套计算机网络安全管理系统,保证网络信息的保密性、完整性和可用性。
一、影响计算机网络信息安全的主要因素
(一)系统漏洞。目前许多流行的操作系统如U-nix服务器、NT服务器及Windows桌面PC等都多多少少的存在一些网络安全漏洞。这些漏洞的潜在隐患为黑客攻击提供了渠道,一旦这些漏洞依靠互联网广泛传播,则会成为整个网络系统受攻击的首选目标和薄弱环节。
(二)计算机病毒。计算机病毒是能实现自我复制并影响计算机使用的一组计算机指令或程序代码。它在计算机程序运行中进行编制或插入,从而破坏计算机功能或者破坏数据,轻则减慢计算机运行速度,重则导致系统瘫痪、硬件损坏。
(三)黑客攻击。黑客攻击是通过对计算机某个程序、系统和网络的破解或破坏以致提醒该系统所有者的系统安全漏洞的过程。黑客攻击手段分为两种,一种是破坏性攻击,是指以破坏目标系统的数据为目的,侵入他人电脑系统对重要机密信息进行窃取、破译。另一种是非破坏性攻击,是指以扰乱网络正常运行为目,通常采用拒绝服务进行网络攻击,并不盗窃系统资料。
(四)人为失误。在日常计算机信息处理、计算机系统和网络操作、维护和管理等相关工作中,操作人员由于不慎选择用户口令,将自己的账号随意转借给他人等操作失误,会带来网络安全威胁。
三、加强计算机网络信息安全的措施
(一)漏洞扫描。检查网络中的系统漏洞并采取措施对其安全隐患进行排除是维护网络安全问题的首要措施。漏洞扫描技术原理是通过网络漏洞扫描软件对网络信息系统进行检查,发现其中可被黑客所利用的漏洞的技术。基于网络的漏洞扫描系统主要分为被动式和主动式两种。被动式是基于对主机的检测,检查主机中对系统中不合适的设置、脆弱的口令以及其他违背安全规则相漏洞。主动式是基于对计算机TCP/IP端口的检测,检查是否支持匿名登录,是否有某些网络服务需要鉴别等等安全漏洞。然后,根据所检查出来的漏洞,对网络风险等级进行客观评价。并通过打补丁和优化系统配置等方式最大可能地对最新的安全漏洞进行弥补,以消除安全隐患。
(二)入侵检测。入侵检测技术是一种能够及时识别对计算机或网络信息资源进行非法入侵的恶意企图和动作,并通过对这些非法入侵的检查能够立即采取措施来阻断攻击,并追踪定位攻击源的技术。入侵检测步骤主要包括:1.搜集系统中不同环节的信息;2.将该信息进行分析识别,寻找该入侵活动的特征;3.对检测到的行为做出自动响应,即时将网络连接阻断;4.报告检测结果。入侵检测系统所采用的技术可分两种。(1)特征检测。特征检测是通过一种模式来表示入侵者的入侵活动,系统通过对主体活动的检测来判断这些活动是否符合该模式,如果符合则表示网络存在入侵安全威胁。该方式的缺点在于只能对已有的入侵模式进行检查,而对新的入侵模式不起作用。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。(2)异常检测。异常检测是通过对入侵活动是否异常于正常主体活动的检测来判断网络是否存在安全威胁。根据这一理念,首先,建立主体正常活动的“活动简档”,对当前主体的活动状况与“活动简档”进行比较,当违反其统计规律时,则表示该活动可能是“入侵行为”。如何建立“活动简档”、以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为是该异常检测的难题。
(三)设置防火墙。防火墙在网络信息安全维护中相当于一个过滤网的作用。它是对两个或多个网络之间传输的数据包如链接方式通过一定的安全策略对其进行检查,决定,并网络之间的通信是否被允许,并监视网络运行状态的特殊网络互联设备,从而起到加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的作用。
防火墙从其实现的原理和方法上,可分为以下类别:1.包过滤型。包过滤型防火墙首先读取网络数据包中的地址信息,并对其进行检查,只有满足过滤条件(安全站点发送)的数据包才被转发到相应目的地。若信息来自威胁站点,则被数据流阻挡丢弃。2.型。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。内网用户对外网的访问需先经过防火墙对外网的访问,然后再由防火墙转发给内网用户。这样,在外网与内网之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统,从而达到保护网络安全的效果。3.监测型。监测型防火墙是通过对网络系统各层的数据进行实时的、主动的检测并进行分析,有效的判断出各层中的非法侵入。
(四)数据加密。数据加密技术的基本原理是按某种算法对原来的明文文件或数据进行重新编码,使其成为一段不可读的代码,即“密文”,并且其内容的显示必须满足输入正确的密钥条件,从而隐藏原信息内容,有效防止信息泄露的技术。数据加密主要采取三种方式,即链路加密、节点加密、端到端加密。链路加密是仅在物理层前的数据链路进行加密,主要用于保护通信节点间的数据,而不考虑信源和信宿的情况,使信息在每台节点机内都要被解密和再加密,依次进行,直至到达目的地。节点加密是协议传输层上进行加密,主要是对源节点和目标节点之间传输数据进行加密保护。端对端加密是网络层以上的加密称为端对端加密,是面向网络层主体,对应用层的数据信息进行加密。
四、结束语
计算机网络信息安全中攻击手段越来越复杂,破坏性也越来越强。面对日益严峻的形势,我们必须依靠完备的系统管理软件、严密的网络安全风险分析、严谨的系统测试、综合的防御技术实施、严格的保密策略以各方面的综合应用,实时地保证信息的完整性和正确性,为网络提供强大的安全服务。
参考文献:
篇5
SSL 安全服务环境
一 引言:
CORBA即公共对象请求结构,它作为面向对象分布式处理的主流标准之一,正日趋完善和成熟,并在各领域得到了广泛的应用。一些基于CORBA的应用(如电子银行、电子商务等)更是在Internet上迅速地发展起来。但由于Internet的早期设计并未考虑到网络的安全性问题,它灵活、松散的体系结构,使其很难满足分布式CORBA应用对安全性的要求。
Internet上CORBA应用程序的安全需求
客户对象域 Internet 服务对象域
CORBA客户对象 客户方防火墙 服务方防火墙 CORBA服务对象
图1 Internet 上的CORBA应用程序
(对象域:一组受防火墙保护的CORBA对象)
图1所示为一典型的Internet 上的CORBA应用程序,如(电子商务)。在这里CORBA客户对象和服务对象处于不同的对象域里,都受到防火墙的保护。当客户对象通过互联网向远端不同对象域的服务对象激发一个调用请求时,它必须考虑如下安全问题:
1身份鉴别
在CORBA应用中,无论是客户对象还是服务对象都必须实现互相之间的可靠的身份鉴别。如:基于CORBA的电子银行应用,它必须保证将客户的请求发往给他提供服务的银行,而银行必须验证客户的身份,然后对其请求服务;如果客户对银行没有身份鉴别,则黑客可能冒充客户的银行,骗取客户的帐户信息,相反如果银行没有对客户进行身份鉴别,则黑客可能冒充客户向银行提出服务。
2 完整性
在Internet的CORBA应用中,仅有身份鉴别是不够的,保持请求的完整性也相当重要。如:尽管在CORBA客户方和服务方都有安全的身份鉴别机制,但黑客可以截获CORBA客户对象和服务对象之间的通信信息,并插入假冒的请求,欺骗服务对象对其服务。
3机密性
在Internet的CORBA应用中, CORBA客户对象和服务对象之间的通信信息必需保密。
4授权和访问控制
在Internet的CORBA应用中,一个服务对象可能会允许多个客户对象的请求,但不同的客户对象要求分配不同的权力。
5 可靠性
当然,Internet的CORBA应用必须有很高的稳定性.此外CORBA应用不应该对系统的其他应用产生影响。
二、Internet上CORBA应用的安全性实现技术及工具
对于CORBA应用的保密性, 完整性, 身份鉴别我们可以采用加密的方法解决。SSL包括:各种加密算法(DES,RSA,IDEA,RC2,RC4,Blowfish),各种检验和机制(MD2,MD5,SHA),证书函数(X.509)等。我们可以用SSL协议对IIOP通信进行加密,实现Internet上的CORBA应用的保密性, 完整性和身份鉴别。具体方法是:
1)用DES加密算法实现保密性。
2)用MD5检验和机制保证完整性。
3)身份鉴别机制用RSA的非对称密钥加解密机制和SSL握手协议实现。
另一种常见的安全技术是防火墙技术。一般的基于Tcp/ip层的防火墙对低层的网络层、传输层的攻击能很好的防护。而应用层防火墙能提供很好的授权和访问控制功能,同时它还能对内容进行检查。因此,可以将防火墙技术嵌入CORBA应用的模型里,为Internet上的CORBA应用提供安全保护。
最后,CORBA安全服务(CORBASec)是CORBA中一项重要的公共对象服务,它在CORBA客户对象和服务对象之间建立安全语言环境,为CORBA应用提供很好的安全服务。
三、Internet 上的CORBA应用的常见安全防护模型.
有了这些安全技术和工具之后,下面的任务就是确定一种合理的安全模型,使它能充分地利用这些安全技术和工具,使它满足Internet 上的CORBA应用程序的安全需求。
1基于CORBA防火墙的安全防护模型
图 2
防火墙技术已被广泛的用于网络的安全防护,它可以就每个通过它的网络数据包,检查数据包收、发双方的身份,根据预先的安全性设置确定该数据包是否能通过防火墙。将防火墙技术应用到CORBA中,并结合SSL对Internet上传送的IIOP请求加密,就形成了如图2所示的基于CORBA防火墙的安全模型。
IIOP Proxy是一种常见的CORBA防火墙, 它是一种应用级的防火墙,工作在IIOP应用层,对IIOP请求进行检查,从而实现对CORBA对象调用的控制;另一方面,它也不允许客户和服务之间直接传递任何数据包,因此,对于非CORBA的服务和应用也能提供安全保护。
在这种模型里, CORBA客户对象并不直接和CORBA服务对象通信,而是通过设在防火墙主机上的IIOP Proxy他们之间的通信.。一个CORBA客户对象对CORBA服务对象的请求经过三个阶段:
CORBA客户对象将它对CORBA服务对象的IIOP请求用SSL加密后发往IIOP Proxy。 IIOP Proxy收到CORBA客户对象的IIOP请求后,将请求解密,检查请求的有效性,而后根据目标服务对象、客户对象认证标志等信息对解密后的请求进行安全过滤。 假如请求符合预设的安全规则,IIOP Proxy将请求转发给相应的服务对象。
而CORBA服务对象对CORBA客户对象请求的回应过程则与之相反。
但这种模型有其缺点:IIOP Proxy转发解密后的请求给服务对象时,它并不对请求再加密,或只用防火墙的密钥加密,服务对象和客户对象之间也没有完全传递安全语言环境,而CORBA的安全语言环境含有保证服务对象和客户对象之间通信安全的重要信息(如客户的鉴别证书等)。
2 第二种模型是:端到端的安全防护模型
在这种模型里, 仍用SSL对Internet上传送的IIOP请求加密,但是,CORBA客户对象直接和CORBA服务对象通信,中间不设任何防火墙,他们之间的通信安全由CORBA安全服务保证。由于CORBA安全服务(CORBASec)为CORBA客户对象与CORBA服务对象之间的通信提供了直接的安全语言环境,它能提供比IIOP Proxy更可靠的身份鉴别、安全审计、授权和访问控制功能。
但是这种模型有个非常严重的缺陷:既使CORBA应用程序能够很好地保护自己,但是不能保证主机上的其他应用和服务也能提供相同级别的安全防护。如果要对这些应用和服务也提供全面的安全防护,则每台主机都需要一个防火墙系统,很显然这是不现实的。
四. CORBA应用的一种新型的安全防护模型
1:基本实现原理
由于上面常见的两种模型都有其缺点,我们提出了这种新的安全模型,它综合了前两种模型的优点,在保证完整地传递CORBA对象之间的安全语言环境的同时,又能很好地对其他非CORBA应用和服务提供安全保障。其基本原理如下(图 4)所示:
在这种模型里,在保持客户对象和服务对象之间的安全语言环境的基础上,再设一个基于Tcp层的CORBA防火墙系统(Tcp Proxy),对除CORBA应用之外的服务提供保护,但是它比IIOP Proxy要简化了许多,它的任务只是将加密了的包含IIOP请求的tcp数据流从客户对象转发给服务对象,它并不象IIOP Proxy一样对IIOP请求进行控制,客户对象和服务对象之间仍保持有直接的安全语言环境,因此它能利用CORBA的安全服务(CORBASec),满足CORBA应用的独特安全需求。
由于Tcp Proxy不对IIOP请求的内容进行检查,而由服务对象对IIOP的请求内容进行检查,并提供审计、授权和访问控制功能,因此,CORBA应用程序不但拥有了和端对端模型一样的安全保护,而且有Tcp Proxy提供低层安全防护,能对ip和Tcp级的网络攻击过滤,确保了传给服务对象的Tcp信息流是安全的。另外,由于Tcp Proxy只连接了CORBA应用使用的端口号,因此,非CORBA的服务也得到了保护。
2:安全性比较
在新型安全防护模型里,Tcp Porxy只工作在Tcp层,它不能对IIOP消息流中的恶意内容进行过滤。例如:易受到针对CORBA服务的缓冲区溢出攻击等。它提供的安全级别看起来比IIOP Proxy要低,但是,实际上IIOP Proxy也带来了许多的安全问题:
1 ) 在没有IIOP Proxy的CORBA应用中,客户对象的请求和安全语言环境是一同传给服务对象的,因此服务对象能从安全语言环境中直接得到客户对象的身份鉴别标志,从而直接对之进行授权和访问控制;然而,IIOP Proxy将客户对象的请求和客户的身份鉴别标志(即安全语言环境)分离,这就意味着不能保证服务对象接受到的从IIOP Proxy转发来的请求和由IIOP Proxy附在请求上的服务语言环境是相一致的。
2 ) 服务对象只信任IIOP Proxy,也导致另一个严重的安全问题。如果一个黑客成功地入侵了防火墙主机,则整个CORBA应用的安全就被破坏了。另外,仅靠IIOP Proxy对IIOP消息中的恶意内容进行过滤也有相当的局限性。因为IIOP Proxy能利用的信息只有请求的头部信息(GIOP header和message header),而请求体由于IIOP Proxy不能存取服务对象的接口定义而不可识别,它是以一种非结构化的字节流,应此,IIOP Proxy也不能防范一些应用层的攻击(如缓冲区溢出攻击)。
而这些问题在新型的安全防护模型里,由于客户对象和服务对象之间仍保持有直接的安全语言环境,因此我们可以直接利用CORBA的安全服务(CORBASec)来解决它们。从而弥补了CORBA防火墙(IIOP Proxy)的不足。同时Tcp Proxy能对非CORBA的应用提供安全防护,它有效地克服了端到端安全防护模型的缺点。
五 结论
通过比较三种CORBA应用安全防护模型,可以看到:结合Tcp Proxy、CORBA安全服务,SSL(Secure Socket Layer)的新型的安全防护模型能为CORBA应用提供全面的安全防护。
六 参考文献
1 <<CORBA教程 --公用对象请求体系结构>> 清华大学出版社
Firewalls: a technical Overview http://boran.com/security/it12-firewall.html
http://omg.org CORBA Overview http://infosys.tuwien.ac.at/Research/CORBA/OMG/arch2.htm CORBA 技术的新进展 <<计算机应用>> 第十九卷第五期 刘锦德 苏森 CORBA 规范、实现及其在CIMS中的应用
篇6
关键词:防火墙;网络安全;RSA算法;PKI技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)13-3381-04
Firewall and Network Security System Constitutes
ZHANG Lei
(Nanjing University of Aeronautics and Astronautics, Nanjing 210016, China)
Abstract: This paper discusses the basic principles of the firewall and deployment principles,and from the firewall,the location of the deployment of a firewall detailed selection criteria,and the exchange of information classification and RSA encryption algorithms to make in order to analyze for information security,PKI technology,which is the core of technology,discusses the composition of the network security system.
Key words: firewall; network; security; RSA Algorithm; PKI
1 概述
信息安全是国家发展所面临的一个重要问题。对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
安装防火墙的基本原则:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
2 防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展。国内外已有数十家公司推出了功能各不相同的防火墙产品系列。
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴。在这一层上,企业对安全系统提出的问题:所有的IP是否都能访问到企业的内部网络系统?如果答案是“是”,则说明企业内部网还没有在网络层采取相应的防范措施。
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换NAT、型和监测型。
2.1 包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙。
2.2 网络地址转化NAT
网络地址转换是一种用于把IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有IP地址的内部网络访问因特网。它还意味着用户不许要为其网络中每一台机器取得注册的IP地址。NAT将自动修改IP报文的源IP地址和目的IP地址,IP地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中,所以还需要同时对报文进行修改,以匹配IP头中已经修改过的源IP地址。否则,在报文数据都分别嵌入IP地址的应用程序就不能正常工作。
NAT的实现方式有三种,即静态转换、动态转换和端口多路复用OverLoad。
静态转换(Static Nat)是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换(Dynamic Nat)是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。
端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问。OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中。当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可。
NAT的工作过程如图1所示。
2.3 型
型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流。从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统。
型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
2.4 监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部。因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本。
实际上,作为当前防火墙产品的主流趋势,大多数服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的,应用网关能提供对协议的过滤。例如,它可以过滤掉FTP连接中的PUT命令,而且通过应用,应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。
3 防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
3.1 总拥有成本
防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
3.2 防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
3.3 管理与培训
管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
3.4 可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
3.5 防火墙的安全性
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
4 加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。
4.1 对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。
4.2 非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
4.3 RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)}
加密:c=me(mod n),其中m为明文,c为密文。
解密:m=cd(mod n)
利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
5 PKI技术
PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。
5.1 认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明―证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。
5.2 注册机构
RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
5.3 策略管理
在PKI系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性。
5.4 密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
5.5 证书管理与撤消系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
6 安全技术的研究现状和动向
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
国际上信息安全研究起步较早,力度大,积累多,应用广,在70年代美国的网络安全技术基础理论研究成果“计算机保密模型”(Beu& La padula模型)的基础上,指定了“可信计算机系统安全评估准则”(TCSEC),其后又制定了关于网络系统数据库方面和系列安全解释,形成了安全信息系统体系结构的准则。安全协议作为信息安全的重要内容,其形式化方法分析始于80年代初,目前有基于状态机、模态逻辑和代数工具的三种分析方法,但仍有局限性和漏洞,处于发展的提高阶段。作为信息安全关键技术密码学,近年来空前活跃,美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制,克服了网络信息系统密钥管理的困难,同时解决了数字签名问题,它是当前研究的热点。而电子商务的安全性已是当前人们普遍关注的焦点,目前正处于研究和发展阶段,它带动了论证理论、密钥管理等研究,由于计算机运算速度的不断提高,各种密码算法面临着新的密码体制,如量子密码、DNA密码、混沌理论等密码新技术正处于探索之中。
7 结束语
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。我国必须建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。在构建信息防卫系统时,应着力发展自己独特的安全产品要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高,以此保证我国信息网络的安全,推动我国国民经济的高速发展。
参考文献:
[1] 范明珏,王光卫.网络安全协议理论与技术[M].北京:清华大学出版社,2009.
[2] Carasik-Henmi A.防火墙核心技术精解[M].北京:中国水利水电出版社,2005.
篇7
关键词:计算机网络 安全问题 防护措施 信息
中图分类号:TP3 文献标识码:A 文章编号:1674-098X(2013)05(b)-0035-01
进入信息时代,人们的沟通方式发生了巨大的变化。随着互联网的高速发展,世界上的每一台计算机都可以连入网络并与任何一台连入网络的计算机进行通信。它不仅用于个人的上网行为,还关系到商业、军事、医疗、公共管理等多个方面,所以计算机网络安全问题变得尤为重要。人类社会对计算机的依赖程度达到了前所未有的高度,当计算机网络受到攻击而不能正常工作,将会带来巨大的危机,社会经济不能正常发展,军事防护没有保证,公共安全出现混乱,这种损失是无法预计的。所以,必须要分析研究计算机网络存在的安全隐患,建立防护措施保证网络的正常秩序。
1 网络安全及其现状
随着计算机的出现,其安全问题就出现在人们的视野,国际标准化组织早已对其进行了定义:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。可以看出,计算机安全主要包括两个方面的内容:物理安全和逻辑安全。物理安全较好理解,主要是硬件上的攻击和破坏。逻辑安全可以理解为信息安全,无论是黑客还是病毒等攻击手段,其目的都是为了获取计算机内部的信息数据,并用这些数据创造非法的价值。
目前计算机网络安全问题都已成为各个国家、企业、机构非常重视的问题,但是安全问题时有发生。互联网上频繁的发生着恶意犯罪、信息泄露以及计算机病毒泛滥事件,而这些事件会对经济造成巨大的损失,对国家造成机密泄露,甚至使人民缺少安全感,对国家失去信心造成恐慌。事实证明,计算机网络安全仍然需要不断的加强和改进。
2 计算机网络安全的威胁
2.1 自然威胁
自然威胁可能来自大自然中的非人为能够控制的各种不可避免性威胁。包括一些自然灾害、电磁干扰、设备老化等问题。这些问题的发生不可预见也很难防护,造成的损失也无法估量。
2.2 黑客攻击
黑客能够善于发现网络和系统中存在的漏洞,并根据这些漏洞有针对性的攻击,进入到系统内部,窃取或篡改信息,造成系统不能正常工作。其本质原因是因为系统和网络本身不够完善,存在缺点和漏洞,成为别人攻击和利用的目标。黑客的另一种攻击方式是网络侦查,可以在网络管理人员毫不知情的情况下,对网络中的数据进行截取、篡改和破坏。
2.3 病毒攻击
计算机病毒是一段可执行的代码或程序,能够破坏系统使其不能正常运行。这种程序被称为病毒,是因为它一般具有生物病毒的高复制性和高传播性,一旦感染很难清除甚至称为一个传播源。病毒的危害有很多,包括减少内存、破坏数据、删除文档、泄露信息等等。
2.4 内部威胁
内部威胁主要是因为很多企业用户中的管理人员安全防范意识不强,采用的防护措施不够,很容易被有目的的利用或攻击。还有一种可能就是内部员工有目的性的对信息进行泄露,进行非法的利益谋取。这些原因都导致内部网络安全事故频频发生,造成不必要的损失。
3 防护措施
计算机网络的特性决定了其很难从根本上杜绝网络安全问题的发生,只有从不断的加强管理和防护措施,尽量避免安全事故的仿生,减小损失。
3.1 访问权限
访问权限控制是重要的网络安全防护措施之一,其基本原理就是身份认证,对不同人员设置不同的访问权限。这样没有通过身份认证的人员并不能使用系统内部网络,禁止没有权限的人或非法用户使用受保护的资源。权限访问主要可以分为三个部分:第一,对用户的身份进行识别和验证,检查其是否具有合法性;第二,规定访问级别,不同级别的用户享有不同的资源访问权限;第三,访问跟踪审计,对所有使用资源的用户进行记录和统计。
3.2 防火墙技术
防火墙一般用于隔离内部网络和外部网络,它被放置在内部网络与互联网相连接的节点上,对外部有害信息进行隔离,是一种逻辑保护手段。防火墙的具体功能有如下几个方面:1)它可以对流进的数据进行过滤,将有害的信息隔离在防火墙之外;2)防火墙可以有针对性的关闭某些端口,禁止一些不安全的站点的访问;3)对流过的数据进行记录和统计,监督使用情况。防火墙可以和其他安全技术相配合,提高整体的网络安全性。但是防火墙有一个明显的缺点,就是其只能防止外部的攻击,对于网络内部的攻击和病毒没有好的防护手段。一旦被入侵,防火墙将不再有任何作用。
3.3 数据加密技术
数据加密技术是保护网络中传输数据不被截获篡改的有效手段。我们可以对数据进行编码,然后加密,使传输的数据失去了其原有的信息特性,这样即使被非法人员获得,因为没有相应的解密手段也不能够获得真正的信息。因为加密都有一定的标记性,所以非法的篡改也可以被发现,这样就大大提高了数据传输的安全性和可靠性。
3.4 增强管理防范意识
从思想上提高防范意识,加强对网络数据的管理和维护,是提高网络安全性的有效手段。人的能动性和独立性决定了不能以程序化的模式来约束和估计人的行为。所以要加强对内部网络人员的管理和培训,建立健全的网络管理制度,提高员工的思想觉悟和法律意识。
4 结语
随着社会信息化发展的加快,社会生活和生产都离不开计算机网络,计算机网络安全的重要性也随着社会的发展不断提升。本文分析了计算机网络安全的现况,并提出了目前网络安全所面临的几个主要问题,最后提出了几点防护意见。计算机网络安全是一门复杂的学科,也是一门持续发展的学科,我们应当在提高防护措施的同时,加强人员的管理和素质的培养,不断提高全民网络道德水平和安全意识。
参考文献
[1] 陈霜霜.计算机网络安全的研究与探讨[J].信息科技,2011(12).
篇8
关键词:网络安全技术 企业网络 解决方案
中图分类号:TN711文献标识码: A 文章编号:
随着计算机网络技术的飞速发展,自由的、开放的、国际化的Internet给政府机构、企事业单位带来了前所未有的变革,使得企事业单位能够利用Internet提高办事效率和市场反应能力,进而提高竞争力。另外,网络安全问题也随着网络技术的发展而真多,凡是有网络的地方就存在着安全隐患。在2007年1月举行的达沃斯世界经济论坛上,与会者首次触及了互联网安全问题,表明网络安全已经成为影响互联网发展的重要问题。由于因特网所具有的开放性、国际性和自由性在增加应用自由度的同时,网络安全隐患也越来越大,如何针对企业的具体网络结构设计出先进的安全方案并选配合理的网络安全产品,以及搭建有效的企业网络安全防护体系是摆在计算机工作者面前的巨大课题。
一、企业网络安全隐患分析 企事业单位可以通过Internet获取重要数据,同时又要面对Internet开放性带来的数据安全问题。公安部网络安全状况调查结果显示:2009年,被调查的企业有49%发生过网络信息安全事件。在发生过安全事件的企业中,83%的企业感染了计算机病毒、蠕虫和木马程序,36%的企业受到垃圾电子邮件干扰和影响。59%的企业发生网络端口扫描,拒绝服务攻击和网页篡改等安全危机。如何保护企业的机密信息不受黑客和工业间谍的攻击,已成为政府机构、企事业单位信息化健康发展所要解决的一项重要工作。随着信息技术的发展,网络病毒和黑客工具软件具有技术先进、隐蔽性强、传播速度快、破坏力强等特点。这主要表现在: 1.网络安全所面临的是一个国际化的挑战,网络的攻击不仅仅来自本地网络的用户,而是可以来自Internet上的任何一个终端机器。2.由于网络技术是全开放的,任何一个团体组织或者个人都可能获得,开放性的网络导致网络所面临的破坏和攻击往往是多方面的,例如:对网络通信协议的攻击,对物理传输线路的攻击,对硬件的攻击,也可以是对软件的攻击等等。3.用户可以自由地使用和各种类型的信息,自由地访问网络服务器,因为网络最初对用户的使用并没有提供任何的技术约束。
二、企业网络安全解决方案
(一)物理隔离方案。其基本原理为:从物理上来隔离阻断网络上潜在的攻击连接。其中包括一系列阻断的特征,如:没有连接、没有命令、没有协议、没有TCP/IP连接,没有应用连接、没有包转发,只有文件“摆渡”,对固态介质只有读和写两个命令。其结果是无法攻击、无法入侵、无法破坏。比如可以采用DShield/宇宙盾通用双向网络信息安全隔离网闸。
(二)网络系统安全解决方案。网络应用服务器的操作系统选择是一个很重要的部分,网络操作系统的稳定性和安全性能决定了服务器的性能。网络操作系统的系统软件,管理并控制着计算机软硬件资源,并在用户与计算之间担任着重要的桥梁作用。一般对其采用下列设置保障其基本安全
1.关闭不必要的服务。2.制定严格的账户策略。3.科学的分配用户账户权限。4.科学的安全配置和分析。 (三)入侵检测解决方案。在现有的企业网络安全防护体系中,大部分企业都部署了防火墙对企业进行保护。但是传统防火墙设备有其自身的缺点。如果操作系统由于自身的漏洞也有可能带来较大的安全风险。根据企业网络的实际应用情况,对网络环境安全状况进行详细的分析研究认为,对外提供应用服务的服务器应该受到重点的监控和防护。在这一区域部署入侵检测系统,这样可以充分发挥IDS的优势,形成防火墙后的第二道防线,如果充分利用IDS与防火墙的互动功能优势,则可以大大提升动态防护的效果。
(四)安全管理解决方案。信息系统安全管理机构是负责信息安全日常事务工作的,应按照国家信息系统安全的有关法律、法规、制度、规范建立和健全有关的安全策略和安全目标,结合自身信息系统的安全需求建立安全实施细则,并负责贯彻实施。 单位安全网(即内网)系统安全管理机构主要实现以下职能:
1.建立和健全本系统的系统安全操作规程。
2.确定信息安全各岗位人员的职责和权限,实行相互授权、相互牵连,建立岗位责任制。
3.审议并通过安全规划,年度安全报告,有关安全的宣传、教育、培训计划。
篇9
关键词:arp欺骗;入侵检测系统;网络监控平台
计算机网络是一个开放性的平台,这就决定了网络先天就存在安全的问题。网络安全一直是限制网络发展的一个重要原因。现今的网络架构中采用交换机互联,使用网关地址转发网络数据包,这种交换式连接的局域网一直是很成熟的技术,但近年来它在一种新型网络攻击面前却毫无办法进行防范,这种攻击就是arp欺骗。
1.arp欺骗
ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
假设一个网络环境中,网内有三台主机,分别为主机A、B、C。主机详细信息如下描述:
A的地址为:IP:192.168.10.1 MAC: AA-AA-AA-AA-AA-AA
B的地址为:IP:192.168.10.2 MAC: BB-BB-BB-BB-BB-BB
C的地址为:IP:192.168.10.3 MAC: CC-CC-CC-CC-CC-CC
正常情况下A和C之间进行通讯,但是此时B向A发送一个自己伪造的ARP应答,而这个应答中的数据为发送方IP地址是192.168.10.3(C的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A被欺骗了),这时B就伪装成C了。同时,B同样向C发送一个ARP应答,应答包中发送方IP地址四192.168.10.1(A的IP地址),MAC地址是BB-BB-BB-BB-BB-BB(A的MAC地址本来应该是AA-AA-AA-AA-AA-AA),当C收到B伪造的ARP应答,也会更新本地ARP缓存(C也被欺骗了),这时B就伪装成了A。这样主机A和C都被主机B欺骗,A和C之间通讯的数据都经过了B。主机B完全可以知道他们之间说的什么:)。这就是典型的ARP欺骗过程。
2.目前的网络防御方法
2.1 防火墙
虽然防火墙可以有效地保护网络免遭黑客的攻击,但是也现存着一些明显的不足:①对内部网络发起的攻击无法阻止;②可以阻断外部攻击而无法消灭攻击来源;③做nat转换后,由于防火墙本身性能和并发连接数的限制,容易导致出口成为网络瓶颈,形成网络拥塞;④对于网络中新生的攻击行为,如果未做出相应策略的设置,则无法防范;⑤对于利用系统后门、蠕虫病毒以及获得用户授权等一切拥有合法开放端口掩护的攻击行为将无法防范。为了弥补防火墙存在的不足,许多网络管理者应用入侵检测来提高网络的安全性和抵御攻击的能力。
2.2 入侵检测系统(intrusiondetectionsystem)
入侵检测系统(ids)按照收集数据来源的不同一般可以分为三大类:
①由多个部件组成,分布于内部网络的各个部分的分布式入侵检测系统。
②依靠网络上的数据包作为分析、监控数据源的基于网络型入侵检测系统。
③安装在网段内的某台计算机上,以系统的应用程序日志和审计日志为数据源主机型入侵检测系统。
虽然入侵检测系统以不同的形式安装于内部网络的各个不同的位置,但由于采集数据源的限制,对arp病毒形式的攻击行为却反应迟钝。入侵检测系统一般部署在主干网络或者明确要监控的网段之中,而一个内部网络往往有很多个独立的网段;由于财力的限制,网络管理者一般都不能在每个网络中部署用于数据采集的监控计算机。一旦未部署的网段中arp欺骗阻塞了本网段与外界的正常通讯,入侵检测系统无法采集到完整的数据信息而不能迅速准确的作出反应。除此以外,现有的各种入侵检测系统还存在着一些共同的缺陷,如;较高的误报率,无关紧要的报警过于频繁;系统产品对不同的网络或网络中的变化反应迟钝,适应能力较低;系统产品报告的专业性太强,需要管理者、使用者有比较高深的网络专业知识;对用于处理信息的设备在硬件上有较高的要求,在大型局域网络中检测系统受自身处理速度的限制,容易发生故障无法对网络进行实时监测。
2.3 入侵防御系统(intrusionpreventsystem)
(1)入侵防御系统(ips)是针对入侵检测系统(ids)所存在的不足,借用网络防火墙的部分原理而建立的。入侵防御系统有效的结合了入侵检测技术和防火墙原理;不但能检测入侵的发生,而且通过一些有效的响应方式来终止入侵行为;从而形成了一种新型的、混合的、具有一定深度的入侵防范技术。
入侵防御系统(ips)按照应用方式的不同一般可以分为三大类:
①基于主机的入侵防御系统hips:是一种驻留在服务器、工作站等独立系统中的安全管理程序。这些程序可以对流入和流出特定系统的数据包进行检查,监控应用程序和操作系统的行为,保护系统不会被恶意修改和攻击。
②基于网络的入侵防御系统nips:是一种以嵌入模式部署与受保护网段中的系统。受保护网段中的所有网络数据都必须通过nips设备,如果被检测出存在攻击行为,nips将会进行实时拦截。
③应用服务入侵防御系统(aips):是将hips扩展成位于应用服务器之间的网络设备。利用与hips相似的原理保护应用服务器。
相对与ids而言,ips是以在线方式安装在被保护网络的入口处,从而监控所有流经的网络数据。ips结合了ids和防火墙的技术,通过对流经的数据报文进行深层检查,发现攻击行为,阻断攻击行为,从而达到防御的目的。
(2)但同时,我们也认识到:由于ips是基于ids同样的策略特征库,导致它无法完全克服ids所存在的缺陷,依然会出现很多的误报和漏报的情况,而主动防御应建立在精确、可靠的检测结果之上,大量的误报所激发的主动防御反而会造成巨大的负面影响;另一方面,数据包的深入检测和保障可用网络的高性能之间是存在矛盾的,随着网络带宽的扩大、单位时间传输数据包的增加、ips攻击特征库的不断膨胀,串连在出口位置的ips对网络性能的影响会越来越严重,最终必将成为网络传输的瓶颈。
3. 新的网络安全发展方向
分析目前网络安全技术的特点不难发现:现有的安全技术无法保证100%发现和阻断外来的网络攻击行为;同时,内网中的计算机以及其它网络通讯设备中存在的系统安全漏洞基本上没有得到任何监控。
所以网络安全新的发展方向就是要建立起上述的网络故障自动监控平台,在建网时就要尽量 做到以下几个方面的工作:
①设计大规模的局域网时,网内的交换机应该联入一个或多个独立的网段中,这样既可以让交换机之间形成一个独立的管理网络,又可以避免远程操作交换机时受到用户网段通信的影响。
②应尽量多的在网络中部署管理型网络交换机,这样既可以缩小故障源的范围便于定位,又便于网络管理员进行远程操作以迅速处理网络故障。
③应在核心交换机上部署一个基于全网拓扑图的网络监控软件,网络值班人员(非核心技术人员)可以通过网络交换机的图形化管理软件对网络信息进行收集、分析和进行故障分析和排除,达到动态监控的目的。
④努力开发收集交换机数据的软件,开发分析网络行为的策略库,不断提高网络监控平台的故障反应速度和故障源定位的准确性。
参考文献
[1]张仕斌,易勇。网络安全技术[m]清华大学出版社
[2]任侠,吕述望。arp协议欺骗原理分析与抵御方法[j]计算机工程2004
篇10
关键词:计算机网络完全;安全隐患;安全检测;监控技术
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 12-0000-02
一、引言
随着网络的普及与应用,个人与企业将越来越多的数据存放于网络之中,尤其伴随着近两年“云服务”的普及,这一趋势更加明显。但是在网络中,由于其本身的脆弱性,加之黑客以及不法之徒在受利益的驱使下对计算机网络的攻击等,使得我们的数据及信息受到了很多安全方面的威胁。因此,做好计算机网络安全的检测与监控不仅能够保证我们生活工作的顺利进行,更对我们的财产隐私起到很好的保护作用。
二、计算机网络安全的隐患
计算机安全指的是通过一定的技术对保证其硬件、软件以及数据不受侵害,我们通常认为计算机安全就是保证我们的数据及隐私不受窃取或者篡改。
计算机网络中的问题一般具有以下特征:隐蔽性、潜伏性、破坏性、危害性、突发性以及扩散性。总体而言计算机网络的安全问题主要体现在:
(1)计算机网络的自身特点决定了网络本身就存在问题。这一问题首先体现在网络本身处于一个无政府、无主管的状态;其次,如今使用较多的系统都存在着漏洞;最后,TCP/IP协议中的隐患较大。这些网络本身不可避免的问题都会对计算机的安全造成较大隐患。
(2)因为外界威胁因素而导致的问题,具体有自然威胁与人为威胁两种,其中人为威胁是我们需要处理的重点,包括黑客攻击、病毒入侵以及非法访问等。
(3)用户安全意识淡薄导致的问题。由于安全意识的单薄,很容易出现其重要性文件不加密、密码泄露等问题,这就给黑客提供了有机可趁的机会。另外,由于防范意识不强,使得系统漏洞修复不及时甚至根本不理会也会给计算机网络带来很大的威胁。
(4)缺乏评估和监控手段。安全评估是确保计算机安全的基础。但是,我们对于计算机网络安全的保护大多数从更事前的预防以及事后的弥补出发,对于事发过程中的评估以及监控做的很不到位,正是基于这一问题,本文提出了有关计算机网络安全的检测与监控技术的研究。
三、计算机网络安全的检测与监控技术
计算机网络安全的检测技术包括网络安全扫描技术、网络安全自动检测系统以及网络入侵监控预警系统
(一)网络安全的扫描技术
网络安全的扫描技术是计算机网络安全的检测技术中非常重要的一部分,我们通过这一技术可以发现Web服务器中有关TCP/IP端口分配、开放服务以及Web服务软件的版本等漏洞。此技术是具有主动、非破坏性以及有效性。具体的使用上,它使用脚本对系统模拟攻击,然后对结果做出分析。一般来说,这种技术与防火墙和网络监控系统之间应互相配合使用,这样可以非常有效地改善系统漏洞,以起到防范黑客入侵的功效。
网络安全的扫描技术在实现中可以分为以下三个阶段:首先,发现目标;其次,收集关于目标的信,;最后,对收集到的信息进行判断,而判断的主要目标是系统的漏洞所在。在这三个阶段中,网络安全扫描技术的实施中包括:端口扫描(Port Scan)、漏洞扫描(Vulnerability Scan)、操作系统探测(Operating System Identification)、如何探测访问控制规则(Firewalking)以及PING扫射(Ping Sweep)等。
(二)自动检测系统
网络安全的自动检测系统是针对防火墙、虚拟专用网络(VPN,)防火墙等技术无法解决的问题而开发的一种对系统安全进行更加主动、有效的检测系统。这种系统的一般来说是依据NSS、Strobe、SATAN、ISS等网络安全检测工具来实现的。
其中安全测试的对象可以分为配置文件测试、文件内客以及保护机制测试、错误修正测试、差别测试以及对于指定系统的测试。目前,在安全测试中,人工智能技术取得了较为不错的效果,对于特殊的漏洞的检测尤为高效。
扫描器是实现网络安全的自动检测系统的关键,这种程序能够对远程或者本地主机的安全性弱点进行扫描,而不是直接对网络的漏洞进行攻击。扫描器具有3个功能,即:发现目标;找出目标主机或网络正运行的服务;对具有漏洞的服务进行测试。其最基本原理是在用户试图对特殊服务进行连接的时候对连接所产生的消息进行检测。
在网络安全的自动检测系统运行中,首先要做的是对攻击方法进行收集与分先,在这个过程里,为了确保网络安全自动检测系统的时效性,我们可以设计一种攻击方法插件(Plug-in)所构成的攻击方法库。它其实是用于对攻击方法进行描述与实现的动态链接库。
在方法库的基础上,我们可以设计实现扫描调度程序和扫描控制程序。这种程序能够接受用户命令,然后配置需要扫描的目标网络以及主机,并分析处理这种扫描结果,图1比较直观的反映了网络安全自动检测系统工作的整体流程。而扫描调度根则是依据扫来自描控制程序的扫描要求以及动态调用方法库中的方法对目标进行扫描,然后把扫描结果反馈到扫描控制程序中。下图是网络安全自动测试系统的总体架构图。
(三)网络入侵预警系统
