導(dǎo)語：如何才能寫好一篇防火墻技術(shù)的基本原理，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：VOIP；防火墻；STUN；入侵防護(hù)系統(tǒng)

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)32-1091-02

Reserch and Implementation of Security Technologies on VOIP System

ZHAO Jing

(Department of Computer and Electronics Engineering,University of Shanghai for Science and Technology,Shanghai 200093,China)

Abstract: In this article an analysis is made of the existing security concerns in VOIP system,then a series of methods and technologies are provided to protect VOIP application.In this way,the security of VOIP system will be enhanced.

Key words: VOIP; firewall; STUN; IPS

1 引言

VoIP也稱為網(wǎng)絡(luò)電話，它是在IP網(wǎng)絡(luò)上通過TCP/IP協(xié)議實(shí)現(xiàn)的一種語音應(yīng)用，這種應(yīng)用包括PC對(duì)PC連接、PC對(duì)電話連接、電話對(duì)電話連接等。目前，全球市場包括中國已有相當(dāng)大的一部分語音業(yè)務(wù)通過IP來傳送，隨著VoIP的廣泛普及和應(yīng)用，加強(qiáng)VoIP系統(tǒng)的安全性顯得日益緊迫。

2 VoIP基本原理及技術(shù)

IP電話是建立在IP技術(shù)上的分組化、數(shù)字化傳輸技術(shù),它將普通電話的模擬信號(hào)轉(zhuǎn)換成可以在因特網(wǎng)上傳送的IP數(shù)據(jù)包，同時(shí)也將收到的IP數(shù)據(jù)包轉(zhuǎn)換成聲音的模擬電信號(hào)，其基本原理是：通過語音壓縮算法對(duì)語音數(shù)據(jù)進(jìn)行壓縮編碼處理，然后把這些語音數(shù)據(jù)按IP等相關(guān)協(xié)議進(jìn)行打包，經(jīng)過IP網(wǎng)絡(luò)把數(shù)據(jù)包傳輸?shù)侥康亩?，再把這些語音數(shù)據(jù)包組裝起來，經(jīng)過解碼解壓處理后，恢復(fù)成原來的語音信號(hào)，從而達(dá)到由IP網(wǎng)絡(luò)傳送語音的目的。

3 VoIP系統(tǒng)面臨的安全威脅

下面分析一下VOIP系統(tǒng)可能面臨的安全威脅，大致可以分為以下幾類。

3.1 常規(guī)威脅

由于VoIP基于可同時(shí)承載語音、數(shù)據(jù)等的統(tǒng)一IP網(wǎng)絡(luò)架構(gòu)，語音和數(shù)據(jù)網(wǎng)絡(luò)的融合增加了網(wǎng)絡(luò)被攻擊的風(fēng)險(xiǎn)，對(duì)數(shù)據(jù)網(wǎng)絡(luò)的各種攻擊手段都會(huì)出現(xiàn)在語音和數(shù)據(jù)融合的網(wǎng)絡(luò)中。

3.2 VoIP特有的安全威脅

除了會(huì)遭遇上述的威脅外，VoIP系統(tǒng)還會(huì)遭遇以下這些與語音有關(guān)的主要威脅：

1） 產(chǎn)品本身易受攻擊：VoIP基礎(chǔ)設(shè)施需要添加專用交換機(jī)系統(tǒng)、網(wǎng)關(guān)、、注冊(cè)和定位服務(wù)器以及撥打到IP骨干網(wǎng)的電話，對(duì)數(shù)據(jù)通信的攻擊可通過IP語音基礎(chǔ)設(shè)施進(jìn)行。

2） 相關(guān)協(xié)議實(shí)現(xiàn)的漏洞：VoIP涉及大量協(xié)議，如SIP、H.323、MGCP等，這些復(fù)雜的協(xié)議會(huì)由于軟件實(shí)現(xiàn)中的缺陷或錯(cuò)誤而留下漏洞。

3） 信令協(xié)議篡改：惡意用戶可以監(jiān)控和篡改建立呼叫后傳輸?shù)臄?shù)據(jù)包。

4） IP電話被盜打：通過竊取使用者IP電話的登錄密碼能夠獲得話機(jī)的權(quán)限。

5） 流媒體偵聽：VOIP存在通過對(duì)IP電話之間的RTP語音流竊取并重放的問題。

6） 呼叫黑洞：指未授權(quán)的拒絕通過VoIP傳輸，從而結(jié)束或阻止正在進(jìn)行的信息交流。

4 可以采用的主要安全技術(shù)

在分析了VoIP系統(tǒng)可能受到的安全威脅之后,可以認(rèn)識(shí)到加強(qiáng)VoIP系統(tǒng)安全的必要性和復(fù)雜性，可以采用下面介紹的這些主要技術(shù)和措施來保障VoIP系統(tǒng)的安全運(yùn)行。

4.1 防火墻技術(shù)

傳統(tǒng)防火墻其自身的特性對(duì)VoIP的部署是一個(gè)障礙，因?yàn)樗鼇G棄所有從外到內(nèi)未開放端口的連接請(qǐng)求，而VoIP采用動(dòng)態(tài)端口傳輸語音和視頻，若防火墻開放全部端口，意味著防火墻形同虛設(shè)；另外VoIP要求因特網(wǎng)上基于IP的資源是可預(yù)測、靜態(tài)可用的，因而當(dāng)防火墻利用NAT技術(shù)時(shí)，要使VoIP有效通過防火墻會(huì)較困難，因而必須采用一些新技術(shù)。

4.1.1 語音感知應(yīng)用層網(wǎng)關(guān)（ALG）

應(yīng)用層網(wǎng)關(guān)被設(shè)計(jì)成能夠識(shí)別指定的協(xié)議（如H.323、SIP或MGCP等），它不是簡單地察看包頭信息來決定數(shù)據(jù)包是否可以通過，而是更深層的分析數(shù)據(jù)包載荷內(nèi)的數(shù)據(jù)，也就是應(yīng)用層的數(shù)據(jù)。采用這種技術(shù)可以使網(wǎng)絡(luò)能夠動(dòng)態(tài)開放和關(guān)閉防火墻端口。

4.1.2 STUN (Simple Traversal of UDP Through NAT)

STUN是一種UDP流協(xié)議穿透NAT的協(xié)議，其解決NAT問題的思路如下：私網(wǎng)接入用戶通過某種機(jī)制預(yù)先得到其地址對(duì)應(yīng)在出口NAT上的對(duì)外地址，然后直接填寫出口NAT上的對(duì)外地址，而不是私網(wǎng)內(nèi)用戶的私有IP地址，這樣報(bào)文負(fù)載中的內(nèi)容在經(jīng)過NAT時(shí)就無需被修改了，只需按普通NAT流程轉(zhuǎn)換報(bào)文頭的IP地址即可，而此時(shí)負(fù)載中的IP地址信息和報(bào)文頭地址信息是一致的。

4.1.3 TURN（Traversal Using Relay NAT）

TURN方式解決NAT問題的思路與STUN相似，采用TURN Server的地址和端口作為客戶端對(duì)外的接收地址和端口，即私網(wǎng)用戶發(fā)出的報(bào)文都要經(jīng)過TURN Server進(jìn)行Relay轉(zhuǎn)發(fā)。這種應(yīng)用方式除了具有STUN方式的優(yōu)點(diǎn)外，還解決了STUN無法穿透對(duì)稱NAT的問題

4.1.4 深度包檢測技術(shù)

深度包檢測技術(shù)以基于指紋匹配、啟發(fā)式技術(shù)、異常檢測以及統(tǒng)計(jì)學(xué)分析等技術(shù)的規(guī)則集，決定如何處理數(shù)據(jù)包。通常深度包檢測技術(shù)深入檢查通過防火墻的每個(gè)數(shù)據(jù)包及其應(yīng)用載荷，因?yàn)楹芏鄲阂庑袨榭赡茈[藏在數(shù)據(jù)載荷中。

4.1.5 會(huì)話邊界控制器（SBC）

SBC可以被看作支持VoIP的防火墻，它還可以修改IP包的包頭，使IP包能夠順利通過網(wǎng)絡(luò)邊緣設(shè)備。SBC是一種“可識(shí)別應(yīng)用層”的設(shè)備，可以識(shí)別第五層和第七層的消息，并且還可以處理第五層的眾多會(huì)話信令協(xié)議，修改數(shù)據(jù)包頭的地址，從而實(shí)現(xiàn)“遠(yuǎn)端防火墻穿越”。同時(shí)SBC可以通過對(duì)會(huì)話數(shù)目的限制，實(shí)現(xiàn)應(yīng)用層防DOS攻擊。

4.2 虛擬局域網(wǎng)（VLAN）技術(shù)

讓語音和數(shù)據(jù)在不同的虛擬局域網(wǎng)上傳輸，把所有的VoIP電話放在單獨(dú)的虛擬局域網(wǎng)上，并且使用不可路由的RFC 1918地址。防止VLAN間進(jìn)行通信可緩解竊聽電話的現(xiàn)象，還可為VoIP虛擬局域網(wǎng)賦予較高優(yōu)先級(jí)。

4.3 加密技術(shù)

可以使用加密技術(shù)比如IPsec來保持VoIP的安全，加密還可以挫敗需要對(duì)基礎(chǔ)設(shè)施獲得物理訪問權(quán)的其他類型的攻擊。

4.4 入侵防護(hù)系統(tǒng)（IPS）

IPS可以緩解從內(nèi)部發(fā)動(dòng)攻擊這個(gè)問題。例如，利用SIP發(fā)送大量的“注冊(cè)”請(qǐng)求會(huì)導(dǎo)致服務(wù)器無力處理請(qǐng)求，而如果IPS能夠理解SIP，就可以檢測這些攻擊。

4.5 加強(qiáng)操作系統(tǒng)安全

支持VoIP的服務(wù)器一般運(yùn)行在Linux、Windows等操作系統(tǒng)上，而這些操作系統(tǒng)又有著不同的漏洞和補(bǔ)丁需要完善。VoIP設(shè)備一般都放在機(jī)房內(nèi)獨(dú)立運(yùn)行，不需要人為干預(yù)，但是這些設(shè)備出廠的時(shí)候，如果沒有打上最新的補(bǔ)丁，就需要網(wǎng)管維護(hù)部門不斷跟蹤最新的安全信息或者和設(shè)備廠商保持聯(lián)系，為這些骨干設(shè)備升級(jí)操作系統(tǒng)，避免遭到黑客的攻擊，另外還要認(rèn)真限制對(duì)它們的訪問。

5 結(jié)束語

本文對(duì)VOIP應(yīng)用過程中存在的主要安全威脅進(jìn)行了研究和分析,并且針對(duì)這些安全威脅提出了一系列的解決方法和技術(shù),通過對(duì)這些技術(shù)的合理應(yīng)用可以極大的增強(qiáng)VOIP應(yīng)用的安全性。

參考文獻(xiàn)：

[1] Rosenberg J, Schulzrinne H, Camarillo G,et al. SIP:Session initiation protocol[EB/OL][S.L].IETF,2002,6.

[2] Lippmann R P,Cunningham R K.Improving Intrusion Detection Performance Using Keyword Selection and Neural puter Networks-the International Journal of Computer and Telecommunica- tions Networking,2000,34(4):597-603

篇2

關(guān)鍵詞:防火墻;過濾包;控制列表;組網(wǎng)

中圖分類號(hào):TP393.02文獻(xiàn)標(biāo)識(shí)碼:A

文章編號(hào):1004-373X(2009)20-082-03

Achievement of ACL/Packet Filtering Skill Based on Accessing of Port Adduction

FENG Naiguang1,CHENG Xi2

(1.Sichuan Radio and TV University,Chengdu,610073,China;2.Anqing TV University,Anqing,246003,China)

Abstract:The purpose of this article is to do research on the skills of setting and achievement of the network firewall,which is to build the firewall in the control list with filtrating skill while accessing the port.The result comes out to be effectively controlling access of the outer network to the inner server through particular users.Meanwhile,the inner network could only access the outer network through the particular mainframe.The conclusion is that the firewall has increased its ability a lot to quarantine the virus with building this firewall with the above skill.This leads to the result that only very few inner users get virus attack,which shows that it has much stronger ability to quarantine the virus than the ordinary firewall.

Keywords:firewall;packet filtering;control lists;network construction

0 引 言

Internet的發(fā)展為政府結(jié)構(gòu)、企事業(yè)單位帶來了革命性的改革和開放。他們正努力利用Internet提高辦事效率和市場反應(yīng)速度,以便更具競爭力。但隨之帶來的負(fù)面效應(yīng)之一是數(shù)據(jù)在傳輸過程中可能存在不安全的因素。網(wǎng)絡(luò)安全成為當(dāng)今最熱門的話題之一,很多企、事業(yè)單位為了保障自身服務(wù)器或數(shù)據(jù)安全都采用了防火墻。隨著科技的發(fā)展,防火墻也逐漸被大眾所接受。這里研究的是防火墻中核心技術(shù)的實(shí)現(xiàn),即組網(wǎng)配置中防火墻設(shè)計(jì)技術(shù)的實(shí)現(xiàn)。

1 防火墻及ACL/包過濾技術(shù)簡介

1.1 防火墻的的概念、分類及功能

簡單地說,防火墻的作用是在保護(hù)一個(gè)網(wǎng)絡(luò)免受“不信任”網(wǎng)絡(luò)的攻擊的同時(shí),保證兩個(gè)網(wǎng)絡(luò)之間可以進(jìn)行合法的通信。防火墻應(yīng)該具有如下基本特征:經(jīng)過防火墻保護(hù)的網(wǎng)絡(luò)之間的通信必須都經(jīng)過防火墻。只有經(jīng)過各種配置策略驗(yàn)證過的合法數(shù)據(jù)包才可以通過防火墻。防火墻本身必須具有很強(qiáng)的抗攻擊、滲透能力?，F(xiàn)代的防火墻體系不僅是一個(gè)“入口的屏障”,而且是幾個(gè)網(wǎng)絡(luò)的接入控制點(diǎn),所有經(jīng)過被防火墻保護(hù)的網(wǎng)絡(luò)的數(shù)據(jù)流都應(yīng)該首先經(jīng)過防火墻,形成一個(gè)信息進(jìn)入的關(guān)口。因此防火墻不但可以保護(hù)內(nèi)部網(wǎng)絡(luò)在Internet中的安全,同時(shí)還可以保護(hù)若干主機(jī)在一個(gè)內(nèi)部網(wǎng)絡(luò)中的安全。在每一個(gè)被防火墻分割的網(wǎng)絡(luò)中,所有的計(jì)算機(jī)之間是被認(rèn)為“可信任的”,它們之間的通信不受防火墻的干涉。而在各個(gè)被防火墻分割的網(wǎng)絡(luò)之間,必須按照防火墻規(guī)定的“策略”進(jìn)行互相的訪問?，F(xiàn)在的許多防火墻同時(shí)還具有一些其他特點(diǎn),如進(jìn)行身份鑒別,對(duì)信息進(jìn)行安全(加密)處理等。

防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類型,但總體來講可分為兩大類,即包過濾和應(yīng)用。包過濾(Packet Filtering),作用在網(wǎng)絡(luò)層和傳輸層,它根據(jù)分組包頭源地址,目的地址和端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端,其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。應(yīng)用(Application Proxy),也叫應(yīng)用網(wǎng)關(guān)(Application Gateway),它作用在應(yīng)用層,其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流,通過對(duì)每種應(yīng)用服務(wù)編制專門的程序,實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實(shí)際應(yīng)用中的網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)。

1.2 ACL/包過濾概念

ACL(Access Control Lists,存取控制列表)是一套與文件相關(guān)的用戶、組和模式項(xiàng),此文件為所有可能的用戶ID或組ID組合指定了權(quán)限。ACL初期僅在路由器上支持,目前已經(jīng)擴(kuò)展到三層交換機(jī),部分最新的二層交換機(jī)如2950等也開始提供ACL支持。只不過支持的特性不是那么完善而已。在其他廠商的路由器或多層交換機(jī)上也提供類似的技術(shù),不過名稱和配置方式都可能有細(xì)微的差別。

ACL的基本原理是使用包過濾技術(shù),在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等,根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾,從而達(dá)到訪問控制的目的。ACL的主要功能就是一方面保護(hù)資源節(jié)點(diǎn),阻止非法用戶對(duì)資源節(jié)點(diǎn)的訪問,另一方面限制特定的用戶節(jié)點(diǎn)所能具備的訪問權(quán)限。

ACL/包過濾應(yīng)用在路由器中,就為路由器增加了對(duì)數(shù)據(jù)包的過濾功能。ACL/包過濾實(shí)現(xiàn)對(duì)IP數(shù)據(jù)包的過濾,對(duì)路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包,先獲取數(shù)據(jù)包的包頭信息,包括IP層所承載的上層協(xié)議的協(xié)議號(hào),數(shù)據(jù)包的源地址、目的地址、源端口和目的端口等,然后和設(shè)定的ACL 規(guī)則進(jìn)行比較,根據(jù)比較的結(jié)果決定對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。

1.3 基于接口的ACL/包過濾技術(shù)

對(duì)路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包,先獲取包頭信息,然后和設(shè)定的規(guī)則進(jìn)行比較,根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。而實(shí)現(xiàn)包過濾的核心技術(shù)是訪問控制列表(見圖1)。

圖1 ACL/包過濾工作過程

包過濾技術(shù)主要是設(shè)定一定的規(guī)則,控制數(shù)據(jù)包。路由器會(huì)根據(jù)設(shè)定的規(guī)則和數(shù)據(jù)包的包頭信息比較,來決定是否允許這個(gè)數(shù)據(jù)包通過。

實(shí)現(xiàn)包過濾技術(shù)最核心內(nèi)容就是訪問控制列表。使用訪問控制列表的目的主要是拒絕某些不希望的訪問。此外訪問控制列表具有區(qū)分?jǐn)?shù)據(jù)包的能力。

訪問控制列表按照數(shù)據(jù)包的特點(diǎn),規(guī)定了一些規(guī)則,見圖2。這些規(guī)則描述了具有一定特點(diǎn)的數(shù)據(jù)包,并且規(guī)定它們是被“允許”的還是被“禁止”的。這些規(guī)則的定義是按照數(shù)據(jù)包包頭的特點(diǎn)定義的,例如可以這樣定義:允許202.38.0.0/16網(wǎng)段的主機(jī)可以使用協(xié)議HTTP 訪問129.10.10.1。禁止從202.110.0.0/16網(wǎng)段的所有訪問。

圖2 基于接口的訪問控制列表規(guī)則

訪問控制列表就可以提供這樣的功能,它按照數(shù)據(jù)包的特點(diǎn),規(guī)定了一些規(guī)則。

這些規(guī)則描述具有一定特點(diǎn)的數(shù)據(jù)包(例如所有源地址是202.10.10.0 地址段的數(shù)據(jù)包、所有使用 Telnet 訪問的數(shù)據(jù)包等),并且規(guī)定它們是被“允許”的還是被“禁止”的。

這樣可以將訪問控制列表規(guī)則應(yīng)用到路由器的接口,阻止一些非法的訪問,同時(shí)并不影響合法用戶的訪問。訪問控制列表提供了一種區(qū)分?jǐn)?shù)據(jù)包種類的手段,它把各種數(shù)據(jù)包按照各自的特點(diǎn)區(qū)分成各種不同的種類,達(dá)到控制用戶訪問的目的。

用戶可以通過 Internet 和外部網(wǎng)絡(luò)進(jìn)行聯(lián)系,網(wǎng)絡(luò)管理員都面臨著一個(gè)問題,就是如何拒絕一些不希望的連接,同時(shí)又要保證合法用戶進(jìn)行的訪問。

為了達(dá)到這樣的效果,需要有一定的規(guī)則來定義哪些數(shù)據(jù)包是“合法”的(或者是可以允許訪問),哪些是“非法”的(或者是禁止訪問)。這些規(guī)則就是訪問控制列表。

由于訪問控制列表具有區(qū)分?jǐn)?shù)據(jù)包的功能,因此,訪問控制列表可以控制“什么樣的數(shù)據(jù)包”,可以做什么樣的事情。

例如,當(dāng)企業(yè)內(nèi)部網(wǎng)通過撥號(hào)方式訪問 Internet,如果不希望所有的用戶都可以撥號(hào)上網(wǎng),就可以利用控制列表決定哪些主機(jī)可以觸發(fā)撥號(hào),以達(dá)到訪問 Internet 的目的。

利用訪問控制列表可以控制數(shù)據(jù)包的觸發(fā)撥號(hào),同樣在IPSec(是一套用來通過公共IP網(wǎng)絡(luò)進(jìn)行安全通訊的協(xié)議格式,它包括數(shù)據(jù)格式協(xié)議、密鑰交換和加密算法等)、地址轉(zhuǎn)換等應(yīng)用中,可以利用控制列表描述什么樣的數(shù)據(jù)包可以加密,什么樣的數(shù)據(jù)包可以地址轉(zhuǎn)換等。

2 包過濾防火墻配置原理及配置實(shí)例

2.1 包過濾防火墻配置原理

包過濾防火墻的配置包括:允許或禁止防火墻;設(shè)置防火墻缺省過濾方式;設(shè)置包過濾防火墻分片報(bào)文檢測開關(guān);配置分片報(bào)文檢測的上、下門限值;在接口上應(yīng)用訪問控制列表,使能或禁止包過濾防火墻,并在系統(tǒng)視圖下進(jìn)行配置,如表1所示。

表1 配置命令

操作命令

使能包過濾防火墻Firewall packet-filter enable

禁止包過濾防火墻Undo firewall packet-filter enable

系統(tǒng)缺省情況下,使能包過濾防火墻。

2.2 基于接口的ACL/包過濾防火墻典型配置實(shí)例

2.2.1 組網(wǎng)需求

以下通過一個(gè)公司配置防火墻的實(shí)例來說明防火墻的配置。

該公司通過一臺(tái) Quidway 安全網(wǎng)關(guān)的接口Ethernet1/0/0 訪問Internet,安全網(wǎng)關(guān)與內(nèi)部網(wǎng)通過以太網(wǎng)接口Ethernet0/0/0 連接。公司內(nèi)部對(duì)外提供WWW,FTP和Telnet服務(wù),公司內(nèi)部子網(wǎng)為129.38.1.0,其中,內(nèi)部FTP 服務(wù)器地址為129.38.1.1,內(nèi)部Telnet 服務(wù)器地址為129.38.1.2,內(nèi)部WWW服務(wù)器地址為129.38.1.3,公司對(duì)外地址為202.38.160.1。在安全網(wǎng)關(guān)上配置了地址轉(zhuǎn)換,這樣內(nèi)部PC 機(jī)可以訪問Internet,外部PC 可以訪問內(nèi)部服務(wù)器。通過配置防火墻,希望實(shí)現(xiàn)以下要求:

(1) 外部網(wǎng)絡(luò)只有特定用戶可以訪問內(nèi)部服務(wù)器;

(2) 內(nèi)部網(wǎng)絡(luò)只有特定主機(jī)可以訪問外部網(wǎng)絡(luò)。

現(xiàn)假定外部特定用戶的 IP 地址為202.39.2.3。

2.2.2 組網(wǎng)圖

圖3為該包過濾防火墻組網(wǎng)配置圖。

圖3 包過濾防火墻組網(wǎng)配置圖

2.2.3 配置步驟

第一步:在安全網(wǎng)關(guān)Quidway 上允許防火墻。

[Quidway] firewall packet-filter enable

第二步:設(shè)置防火墻缺省過濾方式為允許包通過。

[Quidway] firewall packet-filter default permit

第三步:創(chuàng)建訪問控制列表3001。

[Quidway] ACL number 3001

第四步:配置規(guī)則允許特定主機(jī)訪問外部網(wǎng),允許內(nèi)部服務(wù)器訪問外部網(wǎng)。

[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.4 0

[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.1 0

[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.2 0

[Quidway-ACL-adv-3001] rule permit ip source 129.38.1.3 0

[Quidway-ACL-adv-3001] rule deny ip

第五步:創(chuàng)建訪問控制列表3002。

[Quidway] ACL number 3002

第六步: 配置規(guī)則允許特定用戶從外部網(wǎng)訪問內(nèi)部服務(wù)器。

[Quidway-ACL-adv-3002] rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0

第七步:配置規(guī)則允許特定用戶從外部網(wǎng)取得數(shù)據(jù)(只允許端口大于1024 的包)。

[Quidway-ACL-adv-3002] rule permit tcp destination 202.38.160.1 0

destination-port gt 1024

第八步:將規(guī)則3001 作用于從接口Ethernet0/0/0 進(jìn)入的包。

[Quidway-Ethernet0/0/0] firewall packet-filter 3001 inbound

最后將規(guī)則3002 作用于從接口Ethernet1/0/0 進(jìn)入的包。

[Quidway-Ethernet1/0/0] firewall packet-filter 3002 inbound

通過上述方法配置防火墻后,完全能達(dá)到外部網(wǎng)絡(luò)只有特定用戶可以訪問內(nèi)部服務(wù)器。內(nèi)部網(wǎng)絡(luò)只有特定主機(jī)可以訪問外部網(wǎng)絡(luò)的要求,并能有效識(shí)別欺詐型的IP地址。在實(shí)際應(yīng)用過程中,該防火墻運(yùn)行穩(wěn)定,成本低廉,堵塞情況少,能對(duì)多數(shù)黑客攻擊進(jìn)行有效隔離。

3 結(jié) 語

隨著網(wǎng)絡(luò)應(yīng)用的增加,對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。

另外,由于網(wǎng)絡(luò)多媒體應(yīng)用越來越普遍,它要求數(shù)據(jù)穿過防火墻所帶來的延遲要足夠小。因此為了使防火墻在接口處不造成數(shù)據(jù)堵塞,可使用專門的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流,比起ACL/包過濾的防火墻具有更好的性能,但成本較高,不利于普及。從執(zhí)行速度的角度看來,基于網(wǎng)絡(luò)處理器的防火墻也是基于軟件的解決方案,它需要在很大程度上依賴于軟件的性能,但是由于這類防火墻中有一些專門用于處理數(shù)據(jù)層面任務(wù)的引擎,從而減輕了CPU的負(fù)擔(dān),該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。

參考文獻(xiàn)

[1]張玉芳,熊忠陽,賴芳,等.IPv6下基于病毒過濾防火墻的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)科學(xué),2009(4):108-111.

[2]劉鵬遠(yuǎn).Windows平臺(tái)通用個(gè)人防火墻的分析與設(shè)計(jì)[J].計(jì)算機(jī)工程,2009(6):114-116,119.

[3]劉益洪,陳林.基于防火墻的網(wǎng)絡(luò)安全技術(shù)分析[J].通信工程, 2008(6):136-138.

[4]鐘樂海.網(wǎng)絡(luò)安全技術(shù)[M].北京:電子工業(yè)出版社,2007.

[5]王永彪,徐凱聲.用包過濾技術(shù)實(shí)現(xiàn)個(gè)人防火墻[J].計(jì)算機(jī)安全,2005(5):21-22,26.

[6]劉建偉.聯(lián)動(dòng)型網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].科學(xué)技術(shù)與工程,2009(3):1 614-1 616.

[7]張連銀.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].科技資訊,2007(9):188-190.

[8]唐成華,胡昌振,崔中杰.基于域的網(wǎng)絡(luò)安全策略研究[J].計(jì)算機(jī)工程,2007(9):131-133.

篇3

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；實(shí)驗(yàn)；方案

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）02-0271-02

1 概述

教學(xué)定位：計(jì)算機(jī)網(wǎng)絡(luò)定位為高等學(xué)校計(jì)算機(jī)核心基礎(chǔ)課程，其教學(xué)目標(biāo)是：使學(xué)生掌握計(jì)算機(jī)網(wǎng)絡(luò)基本知識(shí)，了解計(jì)算機(jī)網(wǎng)絡(luò)基本組成，掌握基本的網(wǎng)絡(luò)管理和計(jì)算機(jī)系統(tǒng)安全設(shè)置方法，以及利用互聯(lián)網(wǎng)進(jìn)行信息獲取、信息等各種網(wǎng)絡(luò)應(yīng)用及開發(fā)能力。

課程實(shí)施方案總體設(shè)計(jì)思想，學(xué)校的層次不同，學(xué)生專業(yè)不同，人才培養(yǎng)目標(biāo)不同，課程教學(xué)內(nèi)容、教學(xué)要求和教學(xué)目標(biāo)也不相同。因此，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用課程應(yīng)有不同的實(shí)施方案?？梢詮牟煌嵌仍O(shè)計(jì)實(shí)施方案，例如：按學(xué)科劃分、按課程內(nèi)容劃分等。對(duì)于“計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用”課程，采用基于內(nèi)容的實(shí)施方案設(shè)計(jì)方法，可以初步分成如下兩大類：

1）以計(jì)算機(jī)網(wǎng)絡(luò)原理和技術(shù)講解為主的課程教學(xué)實(shí)施方案

主要內(nèi)容：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)知識(shí)，網(wǎng)絡(luò)模擬與網(wǎng)絡(luò)協(xié)議，網(wǎng)絡(luò)設(shè)備的功能、組成及基本原理，網(wǎng)絡(luò)管理，網(wǎng)絡(luò)服務(wù)，網(wǎng)絡(luò)應(yīng)用開發(fā)等。

該實(shí)施方案主要針對(duì)重點(diǎn)高校的理工類學(xué)生，全面培養(yǎng)學(xué)生計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的理解，提高計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用水平，初步培養(yǎng)簡單的網(wǎng)絡(luò)應(yīng)用開發(fā)能力。

2）以計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用講解為主的課程教學(xué)實(shí)施方案

主要內(nèi)容：計(jì)算機(jī)網(wǎng)絡(luò)基本概念，網(wǎng)絡(luò)硬件基本功能、簡單原理，計(jì)算機(jī)網(wǎng)絡(luò)操作系統(tǒng)的簡單配置，網(wǎng)絡(luò)服務(wù)的應(yīng)用，Internet應(yīng)用以及計(jì)算機(jī)系統(tǒng)安全等方面。

該實(shí)施方案主要針對(duì)重點(diǎn)高校文科類學(xué)生、一般院校理工類學(xué)生、文科類學(xué)生，全面培養(yǎng)學(xué)生的計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)和計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用能力，特別是互聯(lián)網(wǎng)應(yīng)用能力。

2 教學(xué)內(nèi)容的組織方式

對(duì)于計(jì)算機(jī)相關(guān)專業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)課程，最常用的內(nèi)容組織方式是采用基于OSI七層模型的方式分層講解。從內(nèi)容的性質(zhì)和認(rèn)知順序看，將知識(shí)單元組織成不同的知識(shí)模塊，知識(shí)模塊又可以分為基本原理、基本技能、網(wǎng)絡(luò)協(xié)議三個(gè)認(rèn)知層次，從而為課程內(nèi)容簡歷一個(gè)清晰的知識(shí)框架。

3 實(shí)驗(yàn)教學(xué)設(shè)計(jì)

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用是一門實(shí)踐性很強(qiáng)的課程，在日常的工作和生活中有著非常廣泛的應(yīng)用。因此，實(shí)踐教學(xué)除了要對(duì)課程的理論知識(shí)進(jìn)行應(yīng)用驗(yàn)證外，還將選擇大量實(shí)際中有可能遇到問題，特別是難點(diǎn)問題進(jìn)行講解，從而提高學(xué)生解決問題的能力。

3.1實(shí)驗(yàn)內(nèi)容基本要求

對(duì)于課程內(nèi)容的所涉及到的知識(shí)點(diǎn)，安排相應(yīng)的實(shí)驗(yàn)驗(yàn)證所學(xué)的理論知識(shí)，關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)及應(yīng)用課程中的實(shí)驗(yàn)設(shè)計(jì)，對(duì)應(yīng)的實(shí)驗(yàn)內(nèi)容和基本要求如表1所示。

3.2實(shí)驗(yàn)項(xiàng)目設(shè)計(jì)

實(shí)驗(yàn)名稱：簡潔明了的反映實(shí)驗(yàn)的核心內(nèi)容

實(shí)驗(yàn)?zāi)康模簩?shí)驗(yàn)預(yù)期達(dá)到的目標(biāo)。采用了解/理解，掌握/會(huì)等詞匯分條描述，也可用深入理解，熟練掌握等用詞對(duì)目的進(jìn)行強(qiáng)調(diào)。

實(shí)驗(yàn)類型：分為驗(yàn)證型、綜合型、探究型三種類型

實(shí)驗(yàn)內(nèi)容：實(shí)驗(yàn)的具體內(nèi)容，分條描述

實(shí)驗(yàn)條件：實(shí)驗(yàn)所需的硬件設(shè)備、軟件系統(tǒng)、網(wǎng)絡(luò)環(huán)境

實(shí)驗(yàn)分析：給出設(shè)計(jì)該實(shí)驗(yàn)的出發(fā)點(diǎn)，問題分析，解題思路，實(shí)驗(yàn)難點(diǎn)分析等。

實(shí)驗(yàn)步驟：操作步驟和程序關(guān)鍵代碼

實(shí)驗(yàn)拓展：在本實(shí)驗(yàn)的基礎(chǔ)上的應(yīng)用能力拓展，給出一個(gè)或幾個(gè)待解決的問題，培養(yǎng)學(xué)生知識(shí)的靈活應(yīng)用和遷移能力。

同時(shí)，還應(yīng)該根據(jù)實(shí)驗(yàn)的實(shí)際情況，形式可分為單人實(shí)驗(yàn)、小組實(shí)驗(yàn)和教師演示實(shí)驗(yàn)。

3.3實(shí)驗(yàn)教學(xué)大綱

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用實(shí)驗(yàn)分成3個(gè)實(shí)驗(yàn)單元，每個(gè)實(shí)驗(yàn)單元包含若干實(shí)驗(yàn)項(xiàng)目，在項(xiàng)目設(shè)計(jì)和選取上遵循以下三條原則：

1） 結(jié)合理論教學(xué)，實(shí)驗(yàn)項(xiàng)目應(yīng)該能夠反映和驗(yàn)證課程所講授的主要知識(shí)點(diǎn)，以加深學(xué)生對(duì)理論教學(xué)內(nèi)容的理解，實(shí)現(xiàn)從原理到應(yīng)用的知識(shí)遷移。

篇4

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；信息；安全

中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2010) 16-0000-01

To Enhance Computer Network Information Security Measures

Chen Xin

(Shandong Tengzhou City People's Hospital,Tengzhou277500,China)

Abstract:Based on the information security of computer network, analysis of main factors,from the vulnerability scanning,intrusion detection,firewall and data encryption,and so on,to enhance computer network information security measures.

Keywords:Computer network;Information;Security

隨著科技信息的高速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)得到了廣泛的應(yīng)用。然而，計(jì)算機(jī)網(wǎng)絡(luò)分布范圍廣，具有體系開放的特點(diǎn)。同時(shí)，由于網(wǎng)絡(luò)的脆弱性和復(fù)雜性，容易受到入侵者的攻擊。計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)面臨著嚴(yán)重的威脅。因此，為了維護(hù)計(jì)算機(jī)、服務(wù)器和局域網(wǎng)資源的信息安全，我們必須建立一套計(jì)算機(jī)網(wǎng)絡(luò)安全管理系統(tǒng)，保證網(wǎng)絡(luò)信息的保密性、完整性和可用性。

一、影響計(jì)算機(jī)網(wǎng)絡(luò)信息安全的主要因素

（一）系統(tǒng)漏洞。目前許多流行的操作系統(tǒng)如U-nix服務(wù)器、NT服務(wù)器及Windows桌面PC等都多多少少的存在一些網(wǎng)絡(luò)安全漏洞。這些漏洞的潛在隱患為黑客攻擊提供了渠道，一旦這些漏洞依靠互聯(lián)網(wǎng)廣泛傳播，則會(huì)成為整個(gè)網(wǎng)絡(luò)系統(tǒng)受攻擊的首選目標(biāo)和薄弱環(huán)節(jié)。

（二）計(jì)算機(jī)病毒。計(jì)算機(jī)病毒是能實(shí)現(xiàn)自我復(fù)制并影響計(jì)算機(jī)使用的一組計(jì)算機(jī)指令或程序代碼。它在計(jì)算機(jī)程序運(yùn)行中進(jìn)行編制或插入，從而破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，輕則減慢計(jì)算機(jī)運(yùn)行速度，重則導(dǎo)致系統(tǒng)癱瘓、硬件損壞。

（三）黑客攻擊。黑客攻擊是通過對(duì)計(jì)算機(jī)某個(gè)程序、系統(tǒng)和網(wǎng)絡(luò)的破解或破壞以致提醒該系統(tǒng)所有者的系統(tǒng)安全漏洞的過程。黑客攻擊手段分為兩種，一種是破壞性攻擊，是指以破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的，侵入他人電腦系統(tǒng)對(duì)重要機(jī)密信息進(jìn)行竊取、破譯。另一種是非破壞性攻擊，是指以擾亂網(wǎng)絡(luò)正常運(yùn)行為目，通常采用拒絕服務(wù)進(jìn)行網(wǎng)絡(luò)攻擊，并不盜竊系統(tǒng)資料。

（四）人為失誤。在日常計(jì)算機(jī)信息處理、計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)操作、維護(hù)和管理等相關(guān)工作中，操作人員由于不慎選擇用戶口令，將自己的賬號(hào)隨意轉(zhuǎn)借給他人等操作失誤，會(huì)帶來網(wǎng)絡(luò)安全威脅。

三、加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全的措施

（一）漏洞掃描。檢查網(wǎng)絡(luò)中的系統(tǒng)漏洞并采取措施對(duì)其安全隱患進(jìn)行排除是維護(hù)網(wǎng)絡(luò)安全問題的首要措施。漏洞掃描技術(shù)原理是通過網(wǎng)絡(luò)漏洞掃描軟件對(duì)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客所利用的漏洞的技術(shù)?；诰W(wǎng)絡(luò)的漏洞掃描系統(tǒng)主要分為被動(dòng)式和主動(dòng)式兩種。被動(dòng)式是基于對(duì)主機(jī)的檢測，檢查主機(jī)中對(duì)系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他違背安全規(guī)則相漏洞。主動(dòng)式是基于對(duì)計(jì)算機(jī)TCP/IP端口的檢測，檢查是否支持匿名登錄，是否有某些網(wǎng)絡(luò)服務(wù)需要鑒別等等安全漏洞。然后，根據(jù)所檢查出來的漏洞，對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)進(jìn)行客觀評(píng)價(jià)。并通過打補(bǔ)丁和優(yōu)化系統(tǒng)配置等方式最大可能地對(duì)最新的安全漏洞進(jìn)行彌補(bǔ)，以消除安全隱患。

（二）入侵檢測。入侵檢測技術(shù)是一種能夠及時(shí)識(shí)別對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)信息資源進(jìn)行非法入侵的惡意企圖和動(dòng)作，并通過對(duì)這些非法入侵的檢查能夠立即采取措施來阻斷攻擊，并追蹤定位攻擊源的技術(shù)。入侵檢測步驟主要包括：1.搜集系統(tǒng)中不同環(huán)節(jié)的信息；2.將該信息進(jìn)行分析識(shí)別，尋找該入侵活動(dòng)的特征；3.對(duì)檢測到的行為做出自動(dòng)響應(yīng)，即時(shí)將網(wǎng)絡(luò)連接阻斷；4.報(bào)告檢測結(jié)果。入侵檢測系統(tǒng)所采用的技術(shù)可分兩種。（1）特征檢測。特征檢測是通過一種模式來表示入侵者的入侵活動(dòng)，系統(tǒng)通過對(duì)主體活動(dòng)的檢測來判斷這些活動(dòng)是否符合該模式，如果符合則表示網(wǎng)絡(luò)存在入侵安全威脅。該方式的缺點(diǎn)在于只能對(duì)已有的入侵模式進(jìn)行檢查，而對(duì)新的入侵模式不起作用。其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵”現(xiàn)象又不會(huì)將正常的活動(dòng)包含進(jìn)來。（2）異常檢測。異常檢測是通過對(duì)入侵活動(dòng)是否異常于正常主體活動(dòng)的檢測來判斷網(wǎng)絡(luò)是否存在安全威脅。根據(jù)這一理念，首先，建立主體正?；顒?dòng)的“活動(dòng)簡檔”，對(duì)當(dāng)前主體的活動(dòng)狀況與“活動(dòng)簡檔”進(jìn)行比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，則表示該活動(dòng)可能是“入侵行為”。如何建立“活動(dòng)簡檔”、以及如何設(shè)計(jì)統(tǒng)計(jì)算法，從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為是該異常檢測的難題。

（三）設(shè)置防火墻。防火墻在網(wǎng)絡(luò)信息安全維護(hù)中相當(dāng)于一個(gè)過濾網(wǎng)的作用。它是對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式通過一定的安全策略對(duì)其進(jìn)行檢查，決定，并網(wǎng)絡(luò)之間的通信是否被允許，并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備，從而起到加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的作用。

防火墻從其實(shí)現(xiàn)的原理和方法上，可分為以下類別：1.包過濾型。包過濾型防火墻首先讀取網(wǎng)絡(luò)數(shù)據(jù)包中的地址信息，并對(duì)其進(jìn)行檢查，只有滿足過濾條件（安全站點(diǎn)發(fā)送）的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)目的地。若信息來自威脅站點(diǎn)，則被數(shù)據(jù)流阻擋丟棄。2.型。服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。內(nèi)網(wǎng)用戶對(duì)外網(wǎng)的訪問需先經(jīng)過防火墻對(duì)外網(wǎng)的訪問，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。這樣，在外網(wǎng)與內(nèi)網(wǎng)之間沒有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)，從而達(dá)到保護(hù)網(wǎng)絡(luò)安全的效果。3.監(jiān)測型。監(jiān)測型防火墻是通過對(duì)網(wǎng)絡(luò)系統(tǒng)各層的數(shù)據(jù)進(jìn)行實(shí)時(shí)的、主動(dòng)的檢測并進(jìn)行分析，有效的判斷出各層中的非法侵入。

（四）數(shù)據(jù)加密。數(shù)據(jù)加密技術(shù)的基本原理是按某種算法對(duì)原來的明文文件或數(shù)據(jù)進(jìn)行重新編碼，使其成為一段不可讀的代碼，即“密文”，并且其內(nèi)容的顯示必須滿足輸入正確的密鑰條件，從而隱藏原信息內(nèi)容，有效防止信息泄露的技術(shù)。數(shù)據(jù)加密主要采取三種方式，即鏈路加密、節(jié)點(diǎn)加密、端到端加密。鏈路加密是僅在物理層前的數(shù)據(jù)鏈路進(jìn)行加密，主要用于保護(hù)通信節(jié)點(diǎn)間的數(shù)據(jù)，而不考慮信源和信宿的情況，使信息在每臺(tái)節(jié)點(diǎn)機(jī)內(nèi)都要被解密和再加密，依次進(jìn)行，直至到達(dá)目的地。節(jié)點(diǎn)加密是協(xié)議傳輸層上進(jìn)行加密，主要是對(duì)源節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)之間傳輸數(shù)據(jù)進(jìn)行加密保護(hù)。端對(duì)端加密是網(wǎng)絡(luò)層以上的加密稱為端對(duì)端加密，是面向網(wǎng)絡(luò)層主體，對(duì)應(yīng)用層的數(shù)據(jù)信息進(jìn)行加密。

四、結(jié)束語

計(jì)算機(jī)網(wǎng)絡(luò)信息安全中攻擊手段越來越復(fù)雜，破壞性也越來越強(qiáng)。面對(duì)日益嚴(yán)峻的形勢，我們必須依靠完備的系統(tǒng)管理軟件、嚴(yán)密的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析、嚴(yán)謹(jǐn)?shù)南到y(tǒng)測試、綜合的防御技術(shù)實(shí)施、嚴(yán)格的保密策略以各方面的綜合應(yīng)用，實(shí)時(shí)地保證信息的完整性和正確性，為網(wǎng)絡(luò)提供強(qiáng)大的安全服務(wù)。

參考文獻(xiàn)：

篇5

SSL 安全服務(wù)環(huán)境

一　引言：

    CORBA即公共對(duì)象請(qǐng)求結(jié)構(gòu)，它作為面向?qū)ο蠓植际教幚淼闹髁鳂?biāo)準(zhǔn)之一，正日趨完善和成熟，并在各領(lǐng)域得到了廣泛的應(yīng)用。一些基于CORBA的應(yīng)用（如電子銀行、電子商務(wù)等）更是在Internet上迅速地發(fā)展起來。但由于Internet的早期設(shè)計(jì)并未考慮到網(wǎng)絡(luò)的安全性問題，它靈活、松散的體系結(jié)構(gòu)，使其很難滿足分布式CORBA應(yīng)用對(duì)安全性的要求。

    Internet上CORBA應(yīng)用程序的安全需求

         客戶對(duì)象域                         Internet                服務(wù)對(duì)象域

CORBA客戶對(duì)象 客戶方防火墻         服務(wù)方防火墻        CORBA服務(wù)對(duì)象

圖1 Internet 上的CORBA應(yīng)用程序

(對(duì)象域：一組受防火墻保護(hù)的CORBA對(duì)象)

    圖1所示為一典型的Internet 上的CORBA應(yīng)用程序，如(電子商務(wù))。在這里CORBA客戶對(duì)象和服務(wù)對(duì)象處于不同的對(duì)象域里，都受到防火墻的保護(hù)。當(dāng)客戶對(duì)象通過互聯(lián)網(wǎng)向遠(yuǎn)端不同對(duì)象域的服務(wù)對(duì)象激發(fā)一個(gè)調(diào)用請(qǐng)求時(shí)，它必須考慮如下安全問題：

    1身份鑒別

    在CORBA應(yīng)用中，無論是客戶對(duì)象還是服務(wù)對(duì)象都必須實(shí)現(xiàn)互相之間的可靠的身份鑒別。如：基于CORBA的電子銀行應(yīng)用，它必須保證將客戶的請(qǐng)求發(fā)往給他提供服務(wù)的銀行，而銀行必須驗(yàn)證客戶的身份，然后對(duì)其請(qǐng)求服務(wù);如果客戶對(duì)銀行沒有身份鑒別，則黑客可能冒充客戶的銀行，騙取客戶的帳戶信息，相反如果銀行沒有對(duì)客戶進(jìn)行身份鑒別，則黑客可能冒充客戶向銀行提出服務(wù)。

    2 完整性

    在Internet的CORBA應(yīng)用中，僅有身份鑒別是不夠的，保持請(qǐng)求的完整性也相當(dāng)重要。如：盡管在CORBA客戶方和服務(wù)方都有安全的身份鑒別機(jī)制，但黑客可以截獲CORBA客戶對(duì)象和服務(wù)對(duì)象之間的通信信息，并插入假冒的請(qǐng)求，欺騙服務(wù)對(duì)象對(duì)其服務(wù)。

    3機(jī)密性

    在Internet的CORBA應(yīng)用中， CORBA客戶對(duì)象和服務(wù)對(duì)象之間的通信信息必需保密。

    4授權(quán)和訪問控制

    在Internet的CORBA應(yīng)用中，一個(gè)服務(wù)對(duì)象可能會(huì)允許多個(gè)客戶對(duì)象的請(qǐng)求，但不同的客戶對(duì)象要求分配不同的權(quán)力。

    5 可靠性

    當(dāng)然，Internet的CORBA應(yīng)用必須有很高的穩(wěn)定性.此外CORBA應(yīng)用不應(yīng)該對(duì)系統(tǒng)的其他應(yīng)用產(chǎn)生影響。

二、Internet上CORBA應(yīng)用的安全性實(shí)現(xiàn)技術(shù)及工具

對(duì)于CORBA應(yīng)用的保密性， 完整性， 身份鑒別我們可以采用加密的方法解決。SSL包括：各種加密算法（DES，RSA，IDEA，RC2，RC4，Blowfish），各種檢驗(yàn)和機(jī)制（MD2，MD5，SHA），證書函數(shù)（X.509）等。我們可以用SSL協(xié)議對(duì)IIOP通信進(jìn)行加密，實(shí)現(xiàn)Internet上的CORBA應(yīng)用的保密性， 完整性和身份鑒別。具體方法是：

1）用DES加密算法實(shí)現(xiàn)保密性。

    2）用MD5檢驗(yàn)和機(jī)制保證完整性。

    3）身份鑒別機(jī)制用RSA的非對(duì)稱密鑰加解密機(jī)制和SSL握手協(xié)議實(shí)現(xiàn)。

另一種常見的安全技術(shù)是防火墻技術(shù)。一般的基于Tcp/ip層的防火墻對(duì)低層的網(wǎng)絡(luò)層、傳輸層的攻擊能很好的防護(hù)。而應(yīng)用層防火墻能提供很好的授權(quán)和訪問控制功能，同時(shí)它還能對(duì)內(nèi)容進(jìn)行檢查。因此，可以將防火墻技術(shù)嵌入CORBA應(yīng)用的模型里，為Internet上的CORBA應(yīng)用提供安全保護(hù)。

    最后，CORBA安全服務(wù)(CORBASec)是CORBA中一項(xiàng)重要的公共對(duì)象服務(wù)，它在CORBA客戶對(duì)象和服務(wù)對(duì)象之間建立安全語言環(huán)境，為CORBA應(yīng)用提供很好的安全服務(wù)。

三、Internet 上的CORBA應(yīng)用的常見安全防護(hù)模型.

    有了這些安全技術(shù)和工具之后，下面的任務(wù)就是確定一種合理的安全模型，使它能充分地利用這些安全技術(shù)和工具，使它滿足Internet 上的CORBA應(yīng)用程序的安全需求。

    1基于CORBA防火墻的安全防護(hù)模型

圖 2

防火墻技術(shù)已被廣泛的用于網(wǎng)絡(luò)的安全防護(hù)，它可以就每個(gè)通過它的網(wǎng)絡(luò)數(shù)據(jù)包，檢查數(shù)據(jù)包收、發(fā)雙方的身份，根據(jù)預(yù)先的安全性設(shè)置確定該數(shù)據(jù)包是否能通過防火墻。將防火墻技術(shù)應(yīng)用到CORBA中，并結(jié)合SSL對(duì)Internet上傳送的IIOP請(qǐng)求加密，就形成了如圖2所示的基于CORBA防火墻的安全模型。

IIOP Proxy是一種常見的CORBA防火墻， 它是一種應(yīng)用級(jí)的防火墻，工作在IIOP應(yīng)用層，對(duì)IIOP請(qǐng)求進(jìn)行檢查，從而實(shí)現(xiàn)對(duì)CORBA對(duì)象調(diào)用的控制;另一方面，它也不允許客戶和服務(wù)之間直接傳遞任何數(shù)據(jù)包，因此，對(duì)于非CORBA的服務(wù)和應(yīng)用也能提供安全保護(hù)。

在這種模型里， CORBA客戶對(duì)象并不直接和CORBA服務(wù)對(duì)象通信，而是通過設(shè)在防火墻主機(jī)上的IIOP Proxy他們之間的通信.。一個(gè)CORBA客戶對(duì)象對(duì)CORBA服務(wù)對(duì)象的請(qǐng)求經(jīng)過三個(gè)階段：

CORBA客戶對(duì)象將它對(duì)CORBA服務(wù)對(duì)象的IIOP請(qǐng)求用SSL加密后發(fā)往IIOP Proxy。 IIOP Proxy收到CORBA客戶對(duì)象的IIOP請(qǐng)求后，將請(qǐng)求解密，檢查請(qǐng)求的有效性，而后根據(jù)目標(biāo)服務(wù)對(duì)象、客戶對(duì)象認(rèn)證標(biāo)志等信息對(duì)解密后的請(qǐng)求進(jìn)行安全過濾。 假如請(qǐng)求符合預(yù)設(shè)的安全規(guī)則，IIOP Proxy將請(qǐng)求轉(zhuǎn)發(fā)給相應(yīng)的服務(wù)對(duì)象。

而CORBA服務(wù)對(duì)象對(duì)CORBA客戶對(duì)象請(qǐng)求的回應(yīng)過程則與之相反。

但這種模型有其缺點(diǎn)：IIOP Proxy轉(zhuǎn)發(fā)解密后的請(qǐng)求給服務(wù)對(duì)象時(shí)，它并不對(duì)請(qǐng)求再加密，或只用防火墻的密鑰加密，服務(wù)對(duì)象和客戶對(duì)象之間也沒有完全傳遞安全語言環(huán)境，而CORBA的安全語言環(huán)境含有保證服務(wù)對(duì)象和客戶對(duì)象之間通信安全的重要信息(如客戶的鑒別證書等)。

2 第二種模型是：端到端的安全防護(hù)模型

在這種模型里， 仍用SSL對(duì)Internet上傳送的IIOP請(qǐng)求加密，但是，CORBA客戶對(duì)象直接和CORBA服務(wù)對(duì)象通信，中間不設(shè)任何防火墻，他們之間的通信安全由CORBA安全服務(wù)保證。由于CORBA安全服務(wù)(CORBASec)為CORBA客戶對(duì)象與CORBA服務(wù)對(duì)象之間的通信提供了直接的安全語言環(huán)境，它能提供比IIOP Proxy更可靠的身份鑒別、安全審計(jì)、授權(quán)和訪問控制功能。

但是這種模型有個(gè)非常嚴(yán)重的缺陷：既使CORBA應(yīng)用程序能夠很好地保護(hù)自己，但是不能保證主機(jī)上的其他應(yīng)用和服務(wù)也能提供相同級(jí)別的安全防護(hù)。如果要對(duì)這些應(yīng)用和服務(wù)也提供全面的安全防護(hù)，則每臺(tái)主機(jī)都需要一個(gè)防火墻系統(tǒng)，很顯然這是不現(xiàn)實(shí)的。

四. CORBA應(yīng)用的一種新型的安全防護(hù)模型

1：基本實(shí)現(xiàn)原理

由于上面常見的兩種模型都有其缺點(diǎn)，我們提出了這種新的安全模型，它綜合了前兩種模型的優(yōu)點(diǎn)，在保證完整地傳遞CORBA對(duì)象之間的安全語言環(huán)境的同時(shí)，又能很好地對(duì)其他非CORBA應(yīng)用和服務(wù)提供安全保障。其基本原理如下（圖 4）所示：

在這種模型里，在保持客戶對(duì)象和服務(wù)對(duì)象之間的安全語言環(huán)境的基礎(chǔ)上，再設(shè)一個(gè)基于Tcp層的CORBA防火墻系統(tǒng)(Tcp Proxy)，對(duì)除CORBA應(yīng)用之外的服務(wù)提供保護(hù)，但是它比IIOP Proxy要簡化了許多，它的任務(wù)只是將加密了的包含IIOP請(qǐng)求的tcp數(shù)據(jù)流從客戶對(duì)象轉(zhuǎn)發(fā)給服務(wù)對(duì)象，它并不象IIOP Proxy一樣對(duì)IIOP請(qǐng)求進(jìn)行控制，客戶對(duì)象和服務(wù)對(duì)象之間仍保持有直接的安全語言環(huán)境，因此它能利用CORBA的安全服務(wù)(CORBASec)，滿足CORBA應(yīng)用的獨(dú)特安全需求。

由于Tcp Proxy不對(duì)IIOP請(qǐng)求的內(nèi)容進(jìn)行檢查，而由服務(wù)對(duì)象對(duì)IIOP的請(qǐng)求內(nèi)容進(jìn)行檢查，并提供審計(jì)、授權(quán)和訪問控制功能,因此，CORBA應(yīng)用程序不但擁有了和端對(duì)端模型一樣的安全保護(hù)，而且有Tcp Proxy提供低層安全防護(hù)，能對(duì)ip和Tcp級(jí)的網(wǎng)絡(luò)攻擊過濾，確保了傳給服務(wù)對(duì)象的Tcp信息流是安全的。另外，由于Tcp Proxy只連接了CORBA應(yīng)用使用的端口號(hào)，因此，非CORBA的服務(wù)也得到了保護(hù)。

2：安全性比較

在新型安全防護(hù)模型里，Tcp Porxy只工作在Tcp層，它不能對(duì)IIOP消息流中的惡意內(nèi)容進(jìn)行過濾。例如：易受到針對(duì)CORBA服務(wù)的緩沖區(qū)溢出攻擊等。它提供的安全級(jí)別看起來比IIOP Proxy要低，但是，實(shí)際上IIOP Proxy也帶來了許多的安全問題:

1 ) 在沒有IIOP Proxy的CORBA應(yīng)用中，客戶對(duì)象的請(qǐng)求和安全語言環(huán)境是一同傳給服務(wù)對(duì)象的，因此服務(wù)對(duì)象能從安全語言環(huán)境中直接得到客戶對(duì)象的身份鑒別標(biāo)志，從而直接對(duì)之進(jìn)行授權(quán)和訪問控制;然而，IIOP Proxy將客戶對(duì)象的請(qǐng)求和客戶的身份鑒別標(biāo)志(即安全語言環(huán)境)分離，這就意味著不能保證服務(wù)對(duì)象接受到的從IIOP Proxy轉(zhuǎn)發(fā)來的請(qǐng)求和由IIOP Proxy附在請(qǐng)求上的服務(wù)語言環(huán)境是相一致的。

2 ) 服務(wù)對(duì)象只信任IIOP Proxy，也導(dǎo)致另一個(gè)嚴(yán)重的安全問題。如果一個(gè)黑客成功地入侵了防火墻主機(jī)，則整個(gè)CORBA應(yīng)用的安全就被破壞了。另外，僅靠IIOP Proxy對(duì)IIOP消息中的惡意內(nèi)容進(jìn)行過濾也有相當(dāng)?shù)木窒扌?。因?yàn)镮IOP Proxy能利用的信息只有請(qǐng)求的頭部信息(GIOP header和message header)，而請(qǐng)求體由于IIOP Proxy不能存取服務(wù)對(duì)象的接口定義而不可識(shí)別，它是以一種非結(jié)構(gòu)化的字節(jié)流，應(yīng)此，IIOP Proxy也不能防范一些應(yīng)用層的攻擊(如緩沖區(qū)溢出攻擊)。

而這些問題在新型的安全防護(hù)模型里，由于客戶對(duì)象和服務(wù)對(duì)象之間仍保持有直接的安全語言環(huán)境，因此我們可以直接利用CORBA的安全服務(wù)(CORBASec)來解決它們。從而彌補(bǔ)了CORBA防火墻(IIOP Proxy)的不足。同時(shí)Tcp Proxy能對(duì)非CORBA的應(yīng)用提供安全防護(hù)，它有效地克服了端到端安全防護(hù)模型的缺點(diǎn)。

五 結(jié)論

通過比較三種CORBA應(yīng)用安全防護(hù)模型，可以看到：結(jié)合Tcp Proxy、CORBA安全服務(wù)，SSL(Secure Socket Layer)的新型的安全防護(hù)模型能為CORBA應(yīng)用提供全面的安全防護(hù)。

六 參考文獻(xiàn)

1 <<CORBA教程 --公用對(duì)象請(qǐng)求體系結(jié)構(gòu)>> 清華大學(xué)出版社

Firewalls： a technical Overview http：//boran.com/security/it12-firewall.html

http：//omg.org CORBA Overview http：//infosys.tuwien.ac.at/Research/CORBA/OMG/arch2.htm CORBA 技術(shù)的新進(jìn)展 <<計(jì)算機(jī)應(yīng)用>> 第十九卷第五期 劉錦德 蘇森 CORBA 規(guī)范、實(shí)現(xiàn)及其在CIMS中的應(yīng)用

篇6

關(guān)鍵詞:防火墻;網(wǎng)絡(luò)安全;RSA算法;PKI技術(shù)

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2010)13-3381-04

Firewall and Network Security System Constitutes

ZHANG Lei

(Nanjing University of Aeronautics and Astronautics, Nanjing 210016, China)

Abstract: This paper discusses the basic principles of the firewall and deployment principles,and from the firewall,the location of the deployment of a firewall detailed selection criteria,and the exchange of information classification and RSA encryption algorithms to make in order to analyze for information security,PKI technology,which is the core of technology,discusses the composition of the network security system.

Key words: firewall; network; security; RSA Algorithm; PKI

1 概述

信息安全是國家發(fā)展所面臨的一個(gè)重要問題。對(duì)于這個(gè)問題,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分,而且應(yīng)該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要組成部分,甚至應(yīng)該看到它對(duì)我國未來電子化、信息化的發(fā)展將起到非常重要的作用。

網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點(diǎn):第一,網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化,如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了;第二,網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化;第三,隨著網(wǎng)絡(luò)在社會(huì)個(gè)方面的延伸,進(jìn)入網(wǎng)絡(luò)的手段也越來越多,因此,網(wǎng)絡(luò)安全技術(shù)是一個(gè)十分復(fù)雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡(luò)安全體系,需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個(gè)方面,總是不斷地向上攀升,所以安全產(chǎn)業(yè)將來也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。

網(wǎng)絡(luò)防火墻技術(shù)的作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障,是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù),就其產(chǎn)品的主流趨勢而言,大多數(shù)服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用更具有大的優(yōu)勢。那么我們究竟應(yīng)該在哪些地方部署防火墻呢?首先,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處,以阻擋來自外部網(wǎng)絡(luò)的入侵;其次,如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大,并且設(shè)置有虛擬局域網(wǎng)(VLAN),則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻;第三,通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻,如果有條件,還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN)。

安裝防火墻的基本原則:只要有惡意侵入的可能,無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處,都應(yīng)該安裝防火墻。

2 防火墻技術(shù)

網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實(shí)施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)。

目前的防火墻產(chǎn)品主要有堡壘主機(jī)、包過濾路由器、應(yīng)用層網(wǎng)關(guān)(服務(wù)器)以及電路層網(wǎng)關(guān)、屏蔽主機(jī)防火墻、雙宿主機(jī)等類型。

雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。

自從1986年美國Digital公司在Internet上安裝了全球第一個(gè)商用防火墻系統(tǒng),提出了防火墻概念后,防火墻技術(shù)得到了飛速的發(fā)展。國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列。

防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇。在這一層上,企業(yè)對(duì)安全系統(tǒng)提出的問題:所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)?如果答案是“是”,則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施。

作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證、防止病毒與黑客侵入等方向發(fā)展。

根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT、型和監(jiān)測型。

2.1 包過濾型

包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定信息,如數(shù)據(jù)的源地址、目標(biāo)地址、TCP/UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點(diǎn),一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包,防火墻便會(huì)將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。

包過濾技術(shù)的優(yōu)點(diǎn)是簡單實(shí)用,實(shí)現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價(jià)在一定程度上保證系統(tǒng)的安全。但包過濾技術(shù)的缺陷也是明顯的。包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源、目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識(shí)別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經(jīng)驗(yàn)的黑客很容易偽造IP地址,騙過包過濾型防火墻。

2.2 網(wǎng)絡(luò)地址轉(zhuǎn)化NAT

網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的、外部的、注冊(cè)的IP地址標(biāo)準(zhǔn)。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺(tái)機(jī)器取得注冊(cè)的IP地址。NAT將自動(dòng)修改IP報(bào)文的源IP地址和目的IP地址,IP地址校驗(yàn)則在NAT處理過程中自動(dòng)完成。有些應(yīng)用程序?qū)⒃碔P地址嵌入到IP報(bào)文的數(shù)據(jù)部分中,所以還需要同時(shí)對(duì)報(bào)文進(jìn)行修改,以匹配IP頭中已經(jīng)修改過的源IP地址。否則,在報(bào)文數(shù)據(jù)都分別嵌入IP地址的應(yīng)用程序就不能正常工作。

NAT的實(shí)現(xiàn)方式有三種,即靜態(tài)轉(zhuǎn)換、動(dòng)態(tài)轉(zhuǎn)換和端口多路復(fù)用OverLoad。

靜態(tài)轉(zhuǎn)換(Static Nat)是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址,IP地址對(duì)是一對(duì)一的,是一成不變的,某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助于靜態(tài)轉(zhuǎn)換,可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。

動(dòng)態(tài)轉(zhuǎn)換(Dynamic Nat)是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí),IP地址是不確定的,是隨機(jī)的,所有被授權(quán)訪問上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說,只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換,以及用哪些合法地址作為外部地址時(shí),就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)?？梢圆捎脛?dòng)態(tài)轉(zhuǎn)換的方式。

端口多路復(fù)用(Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換,即端口地址轉(zhuǎn)換(PAT,Port Address Translation).采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問,從而可以最大限度地節(jié)約IP地址資源。同時(shí),又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī),有效避免來自internet的攻擊。因此,目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。

在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí),將產(chǎn)生一個(gè)映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口,讓這個(gè)偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對(duì)外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí),它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個(gè)開放的IP地址和端口來請(qǐng)求訪問。OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全。當(dāng)符合規(guī)則時(shí),防火墻認(rèn)為訪問是安全的,可以接受訪問請(qǐng)求,也可以將連接請(qǐng)求映射到不同的內(nèi)部計(jì)算機(jī)中。當(dāng)不符合規(guī)則時(shí),防火墻認(rèn)為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請(qǐng)求。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對(duì)于用戶來說是透明的,不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可。

NAT的工作過程如圖1所示。

2.3 型

型防火墻也可以被稱為服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展。服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看,服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器;而從服務(wù)器來看,服務(wù)器又是一臺(tái)真正的客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí),首先將數(shù)據(jù)請(qǐng)求發(fā)給服務(wù)器,服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù),然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

型防火墻的優(yōu)點(diǎn)是安全性較高,可以針對(duì)應(yīng)用層進(jìn)行偵測和掃描,對(duì)付基于應(yīng)用層的侵入和病毒都十分有效。其缺點(diǎn)是對(duì)系統(tǒng)的整體性能有較大的影響,而且服務(wù)器必須針對(duì)客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。

2.4 監(jiān)測型

監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實(shí)際已經(jīng)超越了最初的防火墻定義。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動(dòng)的、實(shí)時(shí)的監(jiān)測,在對(duì)這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。同時(shí),這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點(diǎn)之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時(shí)對(duì)來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì),在針對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品

雖然監(jiān)測型防火墻安全性上已超越了包過濾型和服務(wù)器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實(shí)現(xiàn)成本較高,也不易管理,所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻?；趯?duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。

實(shí)際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢,大多數(shù)服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過濾。例如,它可以過濾掉FTP連接中的PUT命令,而且通過應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn),使得應(yīng)用過程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。

3 防火墻的選擇

選擇防火墻的標(biāo)準(zhǔn)有很多,但最重要的是以下幾條:

3.1 總擁有成本

防火墻產(chǎn)品作為網(wǎng)絡(luò)系統(tǒng)的安全屏障,其總擁有成本(TCO)不應(yīng)該超過受保護(hù)網(wǎng)絡(luò)系統(tǒng)可能遭受最大損失的成本。以一個(gè)非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價(jià)值為10萬元,則該部門所配備防火墻的總成本也不應(yīng)該超過10萬元。當(dāng)然,對(duì)于關(guān)鍵部門來說,其所造成的負(fù)面影響和連帶損失也應(yīng)考慮在內(nèi)。如果僅做粗略估算,非關(guān)鍵部門的防火墻購置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本,關(guān)鍵部門則應(yīng)另當(dāng)別論。

3.2 防火墻本身是安全的

作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應(yīng)該保證安全,不給外部侵入者以可乘之機(jī)。如果像馬其頓防線一樣,正面雖然牢不可破,但進(jìn)攻者能夠輕易地繞過防線進(jìn)入系統(tǒng)內(nèi)部,網(wǎng)絡(luò)系統(tǒng)也就沒有任何安全性可言了。

通常,防火墻的安全性問題來自兩個(gè)方面:其一是防火墻本身的設(shè)計(jì)是否合理,這類問題一般用戶根本無從入手,只有通過權(quán)威認(rèn)證機(jī)構(gòu)的全面測試才能確定。所以對(duì)用戶來說,保守的方法是選擇一個(gè)通過多家權(quán)威認(rèn)證機(jī)構(gòu)測試的產(chǎn)品。其二是使用不當(dāng)。一般來說,防火墻的許多配置需要系統(tǒng)管理員手工修改,如果系統(tǒng)管理員對(duì)防火墻不十分熟悉,就有可能在配置過程中遺留大量的安全漏洞。

3.3 管理與培訓(xùn)

管理和培訓(xùn)是評(píng)價(jià)一個(gè)防火墻好壞的重要方面。我們已經(jīng)談到,在計(jì)算防火墻的成本時(shí),不能只簡單地計(jì)算購置成本,還必須考慮其總擁有成本。人員的培訓(xùn)和日常維護(hù)費(fèi)用通常會(huì)在TCO中占據(jù)較大的比例。一家優(yōu)秀秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓(xùn)和售后服務(wù)。

3.4 可擴(kuò)充性

在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期,由于內(nèi)部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復(fù)雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡(luò)的擴(kuò)容和網(wǎng)絡(luò)應(yīng)用的增加,網(wǎng)絡(luò)的風(fēng)險(xiǎn)成本也會(huì)急劇上升,此時(shí)便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購置的防火墻沒有可擴(kuò)充性,或擴(kuò)充成本極高,這便是對(duì)投資的浪費(fèi)。好的產(chǎn)品應(yīng)該留給用戶足夠的彈性空間,在安全水平要求不高的情況下,可以只選購基本系統(tǒng),而隨著要求的提高,用戶仍然有進(jìn)一步增加選件的余地。這樣不僅能夠保護(hù)用戶的投資,對(duì)提供防火墻產(chǎn)品的廠商來說,也擴(kuò)大了產(chǎn)品覆蓋面。

3.5 防火墻的安全性

防火墻產(chǎn)品最難評(píng)估的方面是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部入侵。這一點(diǎn)同防火墻自身的安全性一樣,普通用戶通常無法判斷。即使安裝好了防火墻,如果沒有實(shí)際的外部入侵,也無從得知產(chǎn)品性能的優(yōu)劣。但在實(shí)際應(yīng)用中檢測安全產(chǎn)品的性能是極為危險(xiǎn)的,所以用戶在選擇防火墻產(chǎn)品時(shí),應(yīng)該盡量選擇占市場份額較大同時(shí)又通過了權(quán)威認(rèn)證機(jī)構(gòu)認(rèn)證測試的產(chǎn)品。

4 加密技術(shù)

信息交換加密技術(shù)分為兩類:即對(duì)稱加密和非對(duì)稱加密。

4.1 對(duì)稱加密技術(shù)

在對(duì)稱加密技術(shù)中,對(duì)信息的加密和解密都使用相同的鑰,也就是說一把鑰匙開一把鎖。這種加密方法可簡化加密處理過程,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄露,那么機(jī)密性和報(bào)文完整性就可以得以保證。對(duì)稱加密技術(shù)也存在一些不足,如果交換一方有N個(gè)交換對(duì)象,那么他就要維護(hù)N個(gè)私有密鑰,對(duì)稱加密存在的另一個(gè)問題是雙方共享一把私有密鑰,交換雙方的任何信息都是通過這把密鑰加密后傳送給對(duì)方的。如三重DES是DES(數(shù)據(jù)加密標(biāo)準(zhǔn))的一種變形,這種方法使用兩個(gè)獨(dú)立的56為密鑰對(duì)信息進(jìn)行3次加密,從而使有效密鑰長度達(dá)到112位。

4.2 非對(duì)稱加密/公開密鑰加密

在非對(duì)稱加密體系中,密鑰被分解為一對(duì)(即公開密鑰和私有密鑰)。這對(duì)密鑰中任何一把都可以作為公開密鑰(加密密鑰)通過非保密方式向他人公開,而另一把作為私有密鑰(解密密鑰)加以保存。公開密鑰用于加密,私有密鑰用于解密,私有密鑰只能有生成密鑰的交換方掌握,公開密鑰可廣泛公布,但它只對(duì)應(yīng)于生成密鑰的交換方。非對(duì)稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信,廣泛應(yīng)用于身份認(rèn)證、數(shù)字簽名等信息交換領(lǐng)域。非對(duì)稱加密體系一般是建立在某些已知的數(shù)學(xué)難題之上,是計(jì)算機(jī)復(fù)雜性理論發(fā)展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。

4.3 RSA算法

RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個(gè)完善的公鑰密碼體制,其安全性是基于分解大整數(shù)的困難性。在RSA體制中使用了這樣一個(gè)基本事實(shí):到目前為止,無法找到一個(gè)有效的算法來分解兩大素?cái)?shù)之積。RSA算法的描述如下:

公開密鑰:n=pq(p、q分別為兩個(gè)互異的大素?cái)?shù),p、q必須保密)

e與(p-1)(q-1)互素

私有密鑰:d=e-1 {mod(p-1)(q-1)}

加密:c=me(mod n),其中m為明文,c為密文。

解密:m=cd(mod n)

利用目前已經(jīng)掌握的知識(shí)和理論,分解2048bit的大整數(shù)已經(jīng)超過了64位計(jì)算機(jī)的運(yùn)算能力,因此在目前和預(yù)見的將來,它是足夠安全的。

5 PKI技術(shù)

PKI(Publie Key Infrastucture)技術(shù)就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。由于通過網(wǎng)絡(luò)進(jìn)行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動(dòng)缺少物理接觸,因此使得用電子方式驗(yàn)證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù),他能夠有效地解決電子商務(wù)應(yīng)用中的機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性和存取控制等安全問題。一個(gè)實(shí)用的PKI體系應(yīng)該是安全的易用的、靈活的和經(jīng)濟(jì)的。它必須充分考慮互操作性和可擴(kuò)展性。它是認(rèn)證機(jī)構(gòu)(CA)、注冊(cè)機(jī)構(gòu)(RA)、策略管理、密鑰(Key)與證書(Certificate)管理、密鑰備份與恢復(fù)、撤消系統(tǒng)等功能模塊的有機(jī)結(jié)合。

5.1 認(rèn)證機(jī)構(gòu)

CA(Certification Authorty)就是這樣一個(gè)確保信任度的權(quán)威實(shí)體,它的主要職責(zé)是頒發(fā)證書、驗(yàn)證用戶身份的真實(shí)性。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明―證書,任何相信該CA的人,按照第三方信任原則,也都應(yīng)當(dāng)相信持有證明的該用戶。CA也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改。構(gòu)建一個(gè)具有較強(qiáng)安全性的CA是至關(guān)重要的,這不僅與密碼學(xué)有關(guān)系,而且與整個(gè)PKI系統(tǒng)的構(gòu)架和模型有關(guān)。此外,靈活也是CA能否得到市場認(rèn)同的一個(gè)關(guān)鍵,它不需支持各種通用的國際標(biāo)準(zhǔn),能夠很好地和其他廠家的CA產(chǎn)品兼容。

5.2 注冊(cè)機(jī)構(gòu)

RA(Registration Authorty)是用戶和CA的接口,它所獲得的用戶標(biāo)識(shí)的準(zhǔn)確性是CA頒發(fā)證書的基礎(chǔ)。RA不僅要支持面對(duì)面的登記,也必須支持遠(yuǎn)程登記。要確保整個(gè)PKI系統(tǒng)的安全、靈活,就必須設(shè)計(jì)和實(shí)現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。

5.3 策略管理

在PKI系統(tǒng)中,制定并實(shí)現(xiàn)科學(xué)的安全策略管理是非常重要的這些安全策略必須適應(yīng)不同的需求,并且能通過CA和RA技術(shù)融入到CA 和RA的系統(tǒng)實(shí)現(xiàn)中。同時(shí),這些策略應(yīng)該符合密碼學(xué)和系統(tǒng)安全的要求,科學(xué)地應(yīng)用密碼學(xué)與網(wǎng)絡(luò)安全的理論,并且具有良好的擴(kuò)展性和互用性。

5.4 密鑰備份和恢復(fù)

為了保證數(shù)據(jù)的安全性,應(yīng)定期更新密鑰和恢復(fù)意外損壞的密鑰是非常重要的,設(shè)計(jì)和實(shí)現(xiàn)健全的密鑰管理方案,保證安全的密鑰備份、更新、恢復(fù),也是關(guān)系到整個(gè)PKI系統(tǒng)強(qiáng)健性、安全性、可用性的重要因素。

5.5 證書管理與撤消系統(tǒng)

證書是用來證明證書持有者身份的電子介質(zhì),它是用來綁定證書持有者身份和其相應(yīng)公鑰的。通常,這種綁定在已頒發(fā)證書的整個(gè)生命周期里是有效的。但是,有時(shí)也會(huì)出現(xiàn)一個(gè)已頒發(fā)證書不再有效的情況這就需要進(jìn)行證書撤消,證書撤消的理由是各種各樣的,可能包括工作變動(dòng)到對(duì)密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實(shí)現(xiàn)是利用周期性的機(jī)制撤消證書或采用在線查詢機(jī)制,隨時(shí)查詢被撤消的證書。

6 安全技術(shù)的研究現(xiàn)狀和動(dòng)向

我國信息網(wǎng)絡(luò)安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護(hù)兩個(gè)階段,正在進(jìn)入網(wǎng)絡(luò)信息安全研究階段,現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡(luò)安全領(lǐng)域是一個(gè)綜合、交叉的學(xué)科領(lǐng)域它綜合了利用數(shù)學(xué)、物理、生化信息技術(shù)和計(jì)算機(jī)技術(shù)的諸多學(xué)科的長期積累和最新發(fā)展成果,提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡(luò)安全的方案,目前應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個(gè)方面開展研究,各部分相互協(xié)同形成有機(jī)整體。

國際上信息安全研究起步較早,力度大,積累多,應(yīng)用廣,在70年代美國的網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計(jì)算機(jī)保密模型”(Beu& La padula模型)的基礎(chǔ)上,指定了“可信計(jì)算機(jī)系統(tǒng)安全評(píng)估準(zhǔn)則”(TCSEC),其后又制定了關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫方面和系列安全解釋,形成了安全信息系統(tǒng)體系結(jié)構(gòu)的準(zhǔn)則。安全協(xié)議作為信息安全的重要內(nèi)容,其形式化方法分析始于80年代初,目前有基于狀態(tài)機(jī)、模態(tài)邏輯和代數(shù)工具的三種分析方法,但仍有局限性和漏洞,處于發(fā)展的提高階段。作為信息安全關(guān)鍵技術(shù)密碼學(xué),近年來空前活躍,美、歐、亞各洲舉行的密碼學(xué)和信息安全學(xué)術(shù)會(huì)議頻繁。1976年美國學(xué)者提出的公開密鑰密碼體制,克服了網(wǎng)絡(luò)信息系統(tǒng)密鑰管理的困難,同時(shí)解決了數(shù)字簽名問題,它是當(dāng)前研究的熱點(diǎn)。而電子商務(wù)的安全性已是當(dāng)前人們普遍關(guān)注的焦點(diǎn),目前正處于研究和發(fā)展階段,它帶動(dòng)了論證理論、密鑰管理等研究,由于計(jì)算機(jī)運(yùn)算速度的不斷提高,各種密碼算法面臨著新的密碼體制,如量子密碼、DNA密碼、混沌理論等密碼新技術(shù)正處于探索之中。

7 結(jié)束語

21世紀(jì)全世界的計(jì)算機(jī)都將通過Internet聯(lián)到一起,信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領(lǐng)域變成了無處不在。一個(gè)國家的信息安全體系實(shí)際上包括國家的法規(guī)和政策,以及技術(shù)與市場的發(fā)展平臺(tái)。我國必須建立起一套完整的網(wǎng)絡(luò)安全體系,特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。在構(gòu)建信息防衛(wèi)系統(tǒng)時(shí),應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品要想真正解決網(wǎng)絡(luò)安全問題,最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè),帶動(dòng)我國網(wǎng)絡(luò)安全技術(shù)的整體提高,以此保證我國信息網(wǎng)絡(luò)的安全,推動(dòng)我國國民經(jīng)濟(jì)的高速發(fā)展。

參考文獻(xiàn):

[1] 范明玨,王光衛(wèi).網(wǎng)絡(luò)安全協(xié)議理論與技術(shù)[M].北京:清華大學(xué)出版社,2009.

[2] Carasik-Henmi A.防火墻核心技術(shù)精解[M].北京:中國水利水電出版社,2005.

篇7

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò) 安全問題 防護(hù)措施 信息

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2013）05（b）-0035-01

進(jìn)入信息時(shí)代，人們的溝通方式發(fā)生了巨大的變化。隨著互聯(lián)網(wǎng)的高速發(fā)展，世界上的每一臺(tái)計(jì)算機(jī)都可以連入網(wǎng)絡(luò)并與任何一臺(tái)連入網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行通信。它不僅用于個(gè)人的上網(wǎng)行為，還關(guān)系到商業(yè)、軍事、醫(yī)療、公共管理等多個(gè)方面，所以計(jì)算機(jī)網(wǎng)絡(luò)安全問題變得尤為重要。人類社會(huì)對(duì)計(jì)算機(jī)的依賴程度達(dá)到了前所未有的高度，當(dāng)計(jì)算機(jī)網(wǎng)絡(luò)受到攻擊而不能正常工作，將會(huì)帶來巨大的危機(jī)，社會(huì)經(jīng)濟(jì)不能正常發(fā)展，軍事防護(hù)沒有保證，公共安全出現(xiàn)混亂，這種損失是無法預(yù)計(jì)的。所以，必須要分析研究計(jì)算機(jī)網(wǎng)絡(luò)存在的安全隱患，建立防護(hù)措施保證網(wǎng)絡(luò)的正常秩序。

1 網(wǎng)絡(luò)安全及其現(xiàn)狀

隨著計(jì)算機(jī)的出現(xiàn)，其安全問題就出現(xiàn)在人們的視野，國際標(biāo)準(zhǔn)化組織早已對(duì)其進(jìn)行了定義：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”?？梢钥闯?，計(jì)算機(jī)安全主要包括兩個(gè)方面的內(nèi)容：物理安全和邏輯安全。物理安全較好理解，主要是硬件上的攻擊和破壞。邏輯安全可以理解為信息安全，無論是黑客還是病毒等攻擊手段，其目的都是為了獲取計(jì)算機(jī)內(nèi)部的信息數(shù)據(jù)，并用這些數(shù)據(jù)創(chuàng)造非法的價(jià)值。

目前計(jì)算機(jī)網(wǎng)絡(luò)安全問題都已成為各個(gè)國家、企業(yè)、機(jī)構(gòu)非常重視的問題，但是安全問題時(shí)有發(fā)生?；ヂ?lián)網(wǎng)上頻繁的發(fā)生著惡意犯罪、信息泄露以及計(jì)算機(jī)病毒泛濫事件，而這些事件會(huì)對(duì)經(jīng)濟(jì)造成巨大的損失，對(duì)國家造成機(jī)密泄露，甚至使人民缺少安全感，對(duì)國家失去信心造成恐慌。事實(shí)證明，計(jì)算機(jī)網(wǎng)絡(luò)安全仍然需要不斷的加強(qiáng)和改進(jìn)。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅

2.1 自然威脅

自然威脅可能來自大自然中的非人為能夠控制的各種不可避免性威脅。包括一些自然災(zāi)害、電磁干擾、設(shè)備老化等問題。這些問題的發(fā)生不可預(yù)見也很難防護(hù)，造成的損失也無法估量。

2.2 黑客攻擊

黑客能夠善于發(fā)現(xiàn)網(wǎng)絡(luò)和系統(tǒng)中存在的漏洞，并根據(jù)這些漏洞有針對(duì)性的攻擊，進(jìn)入到系統(tǒng)內(nèi)部，竊取或篡改信息，造成系統(tǒng)不能正常工作。其本質(zhì)原因是因?yàn)橄到y(tǒng)和網(wǎng)絡(luò)本身不夠完善，存在缺點(diǎn)和漏洞，成為別人攻擊和利用的目標(biāo)。黑客的另一種攻擊方式是網(wǎng)絡(luò)偵查，可以在網(wǎng)絡(luò)管理人員毫不知情的情況下，對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行截取、篡改和破壞。

2.3 病毒攻擊

計(jì)算機(jī)病毒是一段可執(zhí)行的代碼或程序，能夠破壞系統(tǒng)使其不能正常運(yùn)行。這種程序被稱為病毒，是因?yàn)樗话憔哂猩锊《镜母邚?fù)制性和高傳播性，一旦感染很難清除甚至稱為一個(gè)傳播源。病毒的危害有很多，包括減少內(nèi)存、破壞數(shù)據(jù)、刪除文檔、泄露信息等等。

2.4 內(nèi)部威脅

內(nèi)部威脅主要是因?yàn)楹芏嗥髽I(yè)用戶中的管理人員安全防范意識(shí)不強(qiáng)，采用的防護(hù)措施不夠，很容易被有目的的利用或攻擊。還有一種可能就是內(nèi)部員工有目的性的對(duì)信息進(jìn)行泄露，進(jìn)行非法的利益謀取。這些原因都導(dǎo)致內(nèi)部網(wǎng)絡(luò)安全事故頻頻發(fā)生，造成不必要的損失。

3 防護(hù)措施

計(jì)算機(jī)網(wǎng)絡(luò)的特性決定了其很難從根本上杜絕網(wǎng)絡(luò)安全問題的發(fā)生，只有從不斷的加強(qiáng)管理和防護(hù)措施，盡量避免安全事故的仿生，減小損失。

3.1 訪問權(quán)限

訪問權(quán)限控制是重要的網(wǎng)絡(luò)安全防護(hù)措施之一，其基本原理就是身份認(rèn)證，對(duì)不同人員設(shè)置不同的訪問權(quán)限。這樣沒有通過身份認(rèn)證的人員并不能使用系統(tǒng)內(nèi)部網(wǎng)絡(luò)，禁止沒有權(quán)限的人或非法用戶使用受保護(hù)的資源。權(quán)限訪問主要可以分為三個(gè)部分：第一，對(duì)用戶的身份進(jìn)行識(shí)別和驗(yàn)證，檢查其是否具有合法性；第二，規(guī)定訪問級(jí)別，不同級(jí)別的用戶享有不同的資源訪問權(quán)限；第三，訪問跟蹤審計(jì)，對(duì)所有使用資源的用戶進(jìn)行記錄和統(tǒng)計(jì)。

3.2 防火墻技術(shù)

防火墻一般用于隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，它被放置在內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)相連接的節(jié)點(diǎn)上，對(duì)外部有害信息進(jìn)行隔離，是一種邏輯保護(hù)手段。防火墻的具體功能有如下幾個(gè)方面：1）它可以對(duì)流進(jìn)的數(shù)據(jù)進(jìn)行過濾，將有害的信息隔離在防火墻之外；2）防火墻可以有針對(duì)性的關(guān)閉某些端口，禁止一些不安全的站點(diǎn)的訪問；3）對(duì)流過的數(shù)據(jù)進(jìn)行記錄和統(tǒng)計(jì)，監(jiān)督使用情況。防火墻可以和其他安全技術(shù)相配合，提高整體的網(wǎng)絡(luò)安全性。但是防火墻有一個(gè)明顯的缺點(diǎn)，就是其只能防止外部的攻擊，對(duì)于網(wǎng)絡(luò)內(nèi)部的攻擊和病毒沒有好的防護(hù)手段。一旦被入侵，防火墻將不再有任何作用。

3.3 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是保護(hù)網(wǎng)絡(luò)中傳輸數(shù)據(jù)不被截獲篡改的有效手段。我們可以對(duì)數(shù)據(jù)進(jìn)行編碼，然后加密，使傳輸?shù)臄?shù)據(jù)失去了其原有的信息特性，這樣即使被非法人員獲得，因?yàn)闆]有相應(yīng)的解密手段也不能夠獲得真正的信息。因?yàn)榧用芏加幸欢ǖ臉?biāo)記性，所以非法的篡改也可以被發(fā)現(xiàn)，這樣就大大提高了數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴?/p>

3.4 增強(qiáng)管理防范意識(shí)

從思想上提高防范意識(shí)，加強(qiáng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的管理和維護(hù)，是提高網(wǎng)絡(luò)安全性的有效手段。人的能動(dòng)性和獨(dú)立性決定了不能以程序化的模式來約束和估計(jì)人的行為。所以要加強(qiáng)對(duì)內(nèi)部網(wǎng)絡(luò)人員的管理和培訓(xùn)，建立健全的網(wǎng)絡(luò)管理制度，提高員工的思想覺悟和法律意識(shí)。

4 結(jié)語

隨著社會(huì)信息化發(fā)展的加快，社會(huì)生活和生產(chǎn)都離不開計(jì)算機(jī)網(wǎng)絡(luò)，計(jì)算機(jī)網(wǎng)絡(luò)安全的重要性也隨著社會(huì)的發(fā)展不斷提升。本文分析了計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)況，并提出了目前網(wǎng)絡(luò)安全所面臨的幾個(gè)主要問題，最后提出了幾點(diǎn)防護(hù)意見。計(jì)算機(jī)網(wǎng)絡(luò)安全是一門復(fù)雜的學(xué)科，也是一門持續(xù)發(fā)展的學(xué)科，我們應(yīng)當(dāng)在提高防護(hù)措施的同時(shí)，加強(qiáng)人員的管理和素質(zhì)的培養(yǎng)，不斷提高全民網(wǎng)絡(luò)道德水平和安全意識(shí)。

參考文獻(xiàn)

[1] 陳霜霜.計(jì)算機(jī)網(wǎng)絡(luò)安全的研究與探討[J].信息科技，2011（12）.

篇8

關(guān)鍵詞：網(wǎng)絡(luò)安全技術(shù) 企業(yè)網(wǎng)絡(luò) 解決方案

中圖分類號(hào)：TN711文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)：

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，自由的、開放的、國際化的Internet給政府機(jī)構(gòu)、企事業(yè)單位帶來了前所未有的變革，使得企事業(yè)單位能夠利用Internet提高辦事效率和市場反應(yīng)能力，進(jìn)而提高競爭力。另外，網(wǎng)絡(luò)安全問題也隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而真多，凡是有網(wǎng)絡(luò)的地方就存在著安全隱患。在2007年1月舉行的達(dá)沃斯世界經(jīng)濟(jì)論壇上，與會(huì)者首次觸及了互聯(lián)網(wǎng)安全問題，表明網(wǎng)絡(luò)安全已經(jīng)成為影響互聯(lián)網(wǎng)發(fā)展的重要問題。由于因特網(wǎng)所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時(shí)，網(wǎng)絡(luò)安全隱患也越來越大，如何針對(duì)企業(yè)的具體網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)出先進(jìn)的安全方案并選配合理的網(wǎng)絡(luò)安全產(chǎn)品，以及搭建有效的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系是擺在計(jì)算機(jī)工作者面前的巨大課題。

一、企業(yè)網(wǎng)絡(luò)安全隱患分析 企事業(yè)單位可以通過Internet獲取重要數(shù)據(jù)，同時(shí)又要面對(duì)Internet開放性帶來的數(shù)據(jù)安全問題。公安部網(wǎng)絡(luò)安全狀況調(diào)查結(jié)果顯示：2009年，被調(diào)查的企業(yè)有49%發(fā)生過網(wǎng)絡(luò)信息安全事件。在發(fā)生過安全事件的企業(yè)中，83%的企業(yè)感染了計(jì)算機(jī)病毒、蠕蟲和木馬程序，36%的企業(yè)受到垃圾電子郵件干擾和影響。59%的企業(yè)發(fā)生網(wǎng)絡(luò)端口掃描，拒絕服務(wù)攻擊和網(wǎng)頁篡改等安全危機(jī)。如何保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的攻擊，已成為政府機(jī)構(gòu)、企事業(yè)單位信息化健康發(fā)展所要解決的一項(xiàng)重要工作。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)病毒和黑客工具軟件具有技術(shù)先進(jìn)、隱蔽性強(qiáng)、傳播速度快、破壞力強(qiáng)等特點(diǎn)。這主要表現(xiàn)在： 1.網(wǎng)絡(luò)安全所面臨的是一個(gè)國際化的挑戰(zhàn)，網(wǎng)絡(luò)的攻擊不僅僅來自本地網(wǎng)絡(luò)的用戶，而是可以來自Internet上的任何一個(gè)終端機(jī)器。2.由于網(wǎng)絡(luò)技術(shù)是全開放的，任何一個(gè)團(tuán)體組織或者個(gè)人都可能獲得，開放性的網(wǎng)絡(luò)導(dǎo)致網(wǎng)絡(luò)所面臨的破壞和攻擊往往是多方面的，例如：對(duì)網(wǎng)絡(luò)通信協(xié)議的攻擊，對(duì)物理傳輸線路的攻擊，對(duì)硬件的攻擊，也可以是對(duì)軟件的攻擊等等。3.用戶可以自由地使用和各種類型的信息，自由地訪問網(wǎng)絡(luò)服務(wù)器，因?yàn)榫W(wǎng)絡(luò)最初對(duì)用戶的使用并沒有提供任何的技術(shù)約束。

二、企業(yè)網(wǎng)絡(luò)安全解決方案

（一）物理隔離方案。其基本原理為：從物理上來隔離阻斷網(wǎng)絡(luò)上潛在的攻擊連接。其中包括一系列阻斷的特征，如：沒有連接、沒有命令、沒有協(xié)議、沒有TCP/IP連接，沒有應(yīng)用連接、沒有包轉(zhuǎn)發(fā)，只有文件“擺渡”，對(duì)固態(tài)介質(zhì)只有讀和寫兩個(gè)命令。其結(jié)果是無法攻擊、無法入侵、無法破壞。比如可以采用DShield/宇宙盾通用雙向網(wǎng)絡(luò)信息安全隔離網(wǎng)閘。

（二）網(wǎng)絡(luò)系統(tǒng)安全解決方案。網(wǎng)絡(luò)應(yīng)用服務(wù)器的操作系統(tǒng)選擇是一個(gè)很重要的部分，網(wǎng)絡(luò)操作系統(tǒng)的穩(wěn)定性和安全性能決定了服務(wù)器的性能。網(wǎng)絡(luò)操作系統(tǒng)的系統(tǒng)軟件，管理并控制著計(jì)算機(jī)軟硬件資源，并在用戶與計(jì)算之間擔(dān)任著重要的橋梁作用。一般對(duì)其采用下列設(shè)置保障其基本安全

1.關(guān)閉不必要的服務(wù)。2.制定嚴(yán)格的賬戶策略。3.科學(xué)的分配用戶賬戶權(quán)限。4.科學(xué)的安全配置和分析。 （三）入侵檢測解決方案。在現(xiàn)有的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系中，大部分企業(yè)都部署了防火墻對(duì)企業(yè)進(jìn)行保護(hù)。但是傳統(tǒng)防火墻設(shè)備有其自身的缺點(diǎn)。如果操作系統(tǒng)由于自身的漏洞也有可能帶來較大的安全風(fēng)險(xiǎn)。根據(jù)企業(yè)網(wǎng)絡(luò)的實(shí)際應(yīng)用情況，對(duì)網(wǎng)絡(luò)環(huán)境安全狀況進(jìn)行詳細(xì)的分析研究認(rèn)為，對(duì)外提供應(yīng)用服務(wù)的服務(wù)器應(yīng)該受到重點(diǎn)的監(jiān)控和防護(hù)。在這一區(qū)域部署入侵檢測系統(tǒng)，這樣可以充分發(fā)揮IDS的優(yōu)勢，形成防火墻后的第二道防線，如果充分利用IDS與防火墻的互動(dòng)功能優(yōu)勢，則可以大大提升動(dòng)態(tài)防護(hù)的效果。

（四）安全管理解決方案。信息系統(tǒng)安全管理機(jī)構(gòu)是負(fù)責(zé)信息安全日常事務(wù)工作的，應(yīng)按照國家信息系統(tǒng)安全的有關(guān)法律、法規(guī)、制度、規(guī)范建立和健全有關(guān)的安全策略和安全目標(biāo)，結(jié)合自身信息系統(tǒng)的安全需求建立安全實(shí)施細(xì)則，并負(fù)責(zé)貫徹實(shí)施。 單位安全網(wǎng)（即內(nèi)網(wǎng)）系統(tǒng)安全管理機(jī)構(gòu)主要實(shí)現(xiàn)以下職能：

1.建立和健全本系統(tǒng)的系統(tǒng)安全操作規(guī)程。

2.確定信息安全各崗位人員的職責(zé)和權(quán)限，實(shí)行相互授權(quán)、相互牽連，建立崗位責(zé)任制。

3.審議并通過安全規(guī)劃，年度安全報(bào)告，有關(guān)安全的宣傳、教育、培訓(xùn)計(jì)劃。

篇9

關(guān)鍵詞：arp欺騙；入侵檢測系統(tǒng)；網(wǎng)絡(luò)監(jiān)控平臺(tái)

計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)開放性的平臺(tái)，這就決定了網(wǎng)絡(luò)先天就存在安全的問題。網(wǎng)絡(luò)安全一直是限制網(wǎng)絡(luò)發(fā)展的一個(gè)重要原因?，F(xiàn)今的網(wǎng)絡(luò)架構(gòu)中采用交換機(jī)互聯(lián)，使用網(wǎng)關(guān)地址轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包，這種交換式連接的局域網(wǎng)一直是很成熟的技術(shù)，但近年來它在一種新型網(wǎng)絡(luò)攻擊面前卻毫無辦法進(jìn)行防范，這種攻擊就是arp欺騙。

1．a(chǎn)rp欺騙

ARP欺騙是黑客常用的攻擊手段之一，ARP欺騙分為二種，一種是對(duì)路由器ARP表的欺騙；另一種是對(duì)內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。

假設(shè)一個(gè)網(wǎng)絡(luò)環(huán)境中，網(wǎng)內(nèi)有三臺(tái)主機(jī)，分別為主機(jī)A、B、C。主機(jī)詳細(xì)信息如下描述：

A的地址為：IP：192.168.10.1 MAC: AA-AA-AA-AA-AA-AA

B的地址為：IP：192.168.10.2 MAC: BB-BB-BB-BB-BB-BB

C的地址為：IP：192.168.10.3 MAC: CC-CC-CC-CC-CC-CC

正常情況下A和C之間進(jìn)行通訊，但是此時(shí)B向A發(fā)送一個(gè)自己偽造的ARP應(yīng)答，而這個(gè)應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當(dāng)A接收到B偽造的ARP應(yīng)答，就會(huì)更新本地的ARP緩存（A被欺騙了），這時(shí)B就偽裝成C了。同時(shí)，B同樣向C發(fā)送一個(gè)ARP應(yīng)答，應(yīng)答包中發(fā)送方IP地址四192.168.10.1（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本來應(yīng)該是AA-AA-AA-AA-AA-AA），當(dāng)C收到B偽造的ARP應(yīng)答，也會(huì)更新本地ARP緩存（C也被欺騙了），這時(shí)B就偽裝成了A。這樣主機(jī)A和C都被主機(jī)B欺騙，A和C之間通訊的數(shù)據(jù)都經(jīng)過了B。主機(jī)B完全可以知道他們之間說的什么：）。這就是典型的ARP欺騙過程。

2．目前的網(wǎng)絡(luò)防御方法

2.1 防火墻

雖然防火墻可以有效地保護(hù)網(wǎng)絡(luò)免遭黑客的攻擊，但是也現(xiàn)存著一些明顯的不足：①對(duì)內(nèi)部網(wǎng)絡(luò)發(fā)起的攻擊無法阻止；②可以阻斷外部攻擊而無法消滅攻擊來源；③做nat轉(zhuǎn)換后，由于防火墻本身性能和并發(fā)連接數(shù)的限制，容易導(dǎo)致出口成為網(wǎng)絡(luò)瓶頸，形成網(wǎng)絡(luò)擁塞；④對(duì)于網(wǎng)絡(luò)中新生的攻擊行為，如果未做出相應(yīng)策略的設(shè)置，則無法防范；⑤對(duì)于利用系統(tǒng)后門、蠕蟲病毒以及獲得用戶授權(quán)等一切擁有合法開放端口掩護(hù)的攻擊行為將無法防范。為了彌補(bǔ)防火墻存在的不足，許多網(wǎng)絡(luò)管理者應(yīng)用入侵檢測來提高網(wǎng)絡(luò)的安全性和抵御攻擊的能力。

2.2 入侵檢測系統(tǒng)（intrusiondetectionsystem）

入侵檢測系統(tǒng)（ids）按照收集數(shù)據(jù)來源的不同一般可以分為三大類：

①由多個(gè)部件組成，分布于內(nèi)部網(wǎng)絡(luò)的各個(gè)部分的分布式入侵檢測系統(tǒng)。

②依靠網(wǎng)絡(luò)上的數(shù)據(jù)包作為分析、監(jiān)控?cái)?shù)據(jù)源的基于網(wǎng)絡(luò)型入侵檢測系統(tǒng)。

③安裝在網(wǎng)段內(nèi)的某臺(tái)計(jì)算機(jī)上，以系統(tǒng)的應(yīng)用程序日志和審計(jì)日志為數(shù)據(jù)源主機(jī)型入侵檢測系統(tǒng)。

雖然入侵檢測系統(tǒng)以不同的形式安裝于內(nèi)部網(wǎng)絡(luò)的各個(gè)不同的位置，但由于采集數(shù)據(jù)源的限制，對(duì)arp病毒形式的攻擊行為卻反應(yīng)遲鈍。入侵檢測系統(tǒng)一般部署在主干網(wǎng)絡(luò)或者明確要監(jiān)控的網(wǎng)段之中，而一個(gè)內(nèi)部網(wǎng)絡(luò)往往有很多個(gè)獨(dú)立的網(wǎng)段；由于財(cái)力的限制，網(wǎng)絡(luò)管理者一般都不能在每個(gè)網(wǎng)絡(luò)中部署用于數(shù)據(jù)采集的監(jiān)控計(jì)算機(jī)。一旦未部署的網(wǎng)段中arp欺騙阻塞了本網(wǎng)段與外界的正常通訊，入侵檢測系統(tǒng)無法采集到完整的數(shù)據(jù)信息而不能迅速準(zhǔn)確的作出反應(yīng)。除此以外，現(xiàn)有的各種入侵檢測系統(tǒng)還存在著一些共同的缺陷，如；較高的誤報(bào)率，無關(guān)緊要的報(bào)警過于頻繁；系統(tǒng)產(chǎn)品對(duì)不同的網(wǎng)絡(luò)或網(wǎng)絡(luò)中的變化反應(yīng)遲鈍，適應(yīng)能力較低；系統(tǒng)產(chǎn)品報(bào)告的專業(yè)性太強(qiáng)，需要管理者、使用者有比較高深的網(wǎng)絡(luò)專業(yè)知識(shí)；對(duì)用于處理信息的設(shè)備在硬件上有較高的要求，在大型局域網(wǎng)絡(luò)中檢測系統(tǒng)受自身處理速度的限制，容易發(fā)生故障無法對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)測。

2.3 入侵防御系統(tǒng)（intrusionpreventsystem）

（1）入侵防御系統(tǒng)（ips）是針對(duì)入侵檢測系統(tǒng)（ids）所存在的不足，借用網(wǎng)絡(luò)防火墻的部分原理而建立的。入侵防御系統(tǒng)有效的結(jié)合了入侵檢測技術(shù)和防火墻原理；不但能檢測入侵的發(fā)生，而且通過一些有效的響應(yīng)方式來終止入侵行為；從而形成了一種新型的、混合的、具有一定深度的入侵防范技術(shù)。

入侵防御系統(tǒng)（ips）按照應(yīng)用方式的不同一般可以分為三大類：

①基于主機(jī)的入侵防御系統(tǒng)hips：是一種駐留在服務(wù)器、工作站等獨(dú)立系統(tǒng)中的安全管理程序。這些程序可以對(duì)流入和流出特定系統(tǒng)的數(shù)據(jù)包進(jìn)行檢查，監(jiān)控應(yīng)用程序和操作系統(tǒng)的行為，保護(hù)系統(tǒng)不會(huì)被惡意修改和攻擊。

②基于網(wǎng)絡(luò)的入侵防御系統(tǒng)nips：是一種以嵌入模式部署與受保護(hù)網(wǎng)段中的系統(tǒng)。受保護(hù)網(wǎng)段中的所有網(wǎng)絡(luò)數(shù)據(jù)都必須通過nips設(shè)備，如果被檢測出存在攻擊行為，nips將會(huì)進(jìn)行實(shí)時(shí)攔截。

③應(yīng)用服務(wù)入侵防御系統(tǒng)（aips）：是將hips擴(kuò)展成位于應(yīng)用服務(wù)器之間的網(wǎng)絡(luò)設(shè)備。利用與hips相似的原理保護(hù)應(yīng)用服務(wù)器。

相對(duì)與ids而言，ips是以在線方式安裝在被保護(hù)網(wǎng)絡(luò)的入口處，從而監(jiān)控所有流經(jīng)的網(wǎng)絡(luò)數(shù)據(jù)。ips結(jié)合了ids和防火墻的技術(shù)，通過對(duì)流經(jīng)的數(shù)據(jù)報(bào)文進(jìn)行深層檢查，發(fā)現(xiàn)攻擊行為，阻斷攻擊行為，從而達(dá)到防御的目的。

（2）但同時(shí)，我們也認(rèn)識(shí)到：由于ips是基于ids同樣的策略特征庫，導(dǎo)致它無法完全克服ids所存在的缺陷，依然會(huì)出現(xiàn)很多的誤報(bào)和漏報(bào)的情況，而主動(dòng)防御應(yīng)建立在精確、可靠的檢測結(jié)果之上，大量的誤報(bào)所激發(fā)的主動(dòng)防御反而會(huì)造成巨大的負(fù)面影響；另一方面，數(shù)據(jù)包的深入檢測和保障可用網(wǎng)絡(luò)的高性能之間是存在矛盾的，隨著網(wǎng)絡(luò)帶寬的擴(kuò)大、單位時(shí)間傳輸數(shù)據(jù)包的增加、ips攻擊特征庫的不斷膨脹，串連在出口位置的ips對(duì)網(wǎng)絡(luò)性能的影響會(huì)越來越嚴(yán)重，最終必將成為網(wǎng)絡(luò)傳輸?shù)钠款i。

3. 新的網(wǎng)絡(luò)安全發(fā)展方向

分析目前網(wǎng)絡(luò)安全技術(shù)的特點(diǎn)不難發(fā)現(xiàn)：現(xiàn)有的安全技術(shù)無法保證100%發(fā)現(xiàn)和阻斷外來的網(wǎng)絡(luò)攻擊行為；同時(shí)，內(nèi)網(wǎng)中的計(jì)算機(jī)以及其它網(wǎng)絡(luò)通訊設(shè)備中存在的系統(tǒng)安全漏洞基本上沒有得到任何監(jiān)控。

所以網(wǎng)絡(luò)安全新的發(fā)展方向就是要建立起上述的網(wǎng)絡(luò)故障自動(dòng)監(jiān)控平臺(tái)，在建網(wǎng)時(shí)就要盡量 做到以下幾個(gè)方面的工作：

①設(shè)計(jì)大規(guī)模的局域網(wǎng)時(shí)，網(wǎng)內(nèi)的交換機(jī)應(yīng)該聯(lián)入一個(gè)或多個(gè)獨(dú)立的網(wǎng)段中，這樣既可以讓交換機(jī)之間形成一個(gè)獨(dú)立的管理網(wǎng)絡(luò)，又可以避免遠(yuǎn)程操作交換機(jī)時(shí)受到用戶網(wǎng)段通信的影響。

②應(yīng)盡量多的在網(wǎng)絡(luò)中部署管理型網(wǎng)絡(luò)交換機(jī)，這樣既可以縮小故障源的范圍便于定位，又便于網(wǎng)絡(luò)管理員進(jìn)行遠(yuǎn)程操作以迅速處理網(wǎng)絡(luò)故障。

③應(yīng)在核心交換機(jī)上部署一個(gè)基于全網(wǎng)拓?fù)鋱D的網(wǎng)絡(luò)監(jiān)控軟件，網(wǎng)絡(luò)值班人員（非核心技術(shù)人員）可以通過網(wǎng)絡(luò)交換機(jī)的圖形化管理軟件對(duì)網(wǎng)絡(luò)信息進(jìn)行收集、分析和進(jìn)行故障分析和排除，達(dá)到動(dòng)態(tài)監(jiān)控的目的。

④努力開發(fā)收集交換機(jī)數(shù)據(jù)的軟件，開發(fā)分析網(wǎng)絡(luò)行為的策略庫，不斷提高網(wǎng)絡(luò)監(jiān)控平臺(tái)的故障反應(yīng)速度和故障源定位的準(zhǔn)確性。

參考文獻(xiàn)

[1]張仕斌，易勇。網(wǎng)絡(luò)安全技術(shù)[m]清華大學(xué)出版社

[2]任俠，呂述望。arp協(xié)議欺騙原理分析與抵御方法[j]計(jì)算機(jī)工程2004

篇10

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)完全；安全隱患；安全檢測；監(jiān)控技術(shù)

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 (2012) 12-0000-02

一、引言

隨著網(wǎng)絡(luò)的普及與應(yīng)用，個(gè)人與企業(yè)將越來越多的數(shù)據(jù)存放于網(wǎng)絡(luò)之中，尤其伴隨著近兩年“云服務(wù)”的普及，這一趨勢更加明顯。但是在網(wǎng)絡(luò)中，由于其本身的脆弱性，加之黑客以及不法之徒在受利益的驅(qū)使下對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的攻擊等，使得我們的數(shù)據(jù)及信息受到了很多安全方面的威脅。因此，做好計(jì)算機(jī)網(wǎng)絡(luò)安全的檢測與監(jiān)控不僅能夠保證我們生活工作的順利進(jìn)行，更對(duì)我們的財(cái)產(chǎn)隱私起到很好的保護(hù)作用。

二、計(jì)算機(jī)網(wǎng)絡(luò)安全的隱患

計(jì)算機(jī)安全指的是通過一定的技術(shù)對(duì)保證其硬件、軟件以及數(shù)據(jù)不受侵害，我們通常認(rèn)為計(jì)算機(jī)安全就是保證我們的數(shù)據(jù)及隱私不受竊取或者篡改。

計(jì)算機(jī)網(wǎng)絡(luò)中的問題一般具有以下特征：隱蔽性、潛伏性、破壞性、危害性、突發(fā)性以及擴(kuò)散性?？傮w而言計(jì)算機(jī)網(wǎng)絡(luò)的安全問題主要體現(xiàn)在：

（1）計(jì)算機(jī)網(wǎng)絡(luò)的自身特點(diǎn)決定了網(wǎng)絡(luò)本身就存在問題。這一問題首先體現(xiàn)在網(wǎng)絡(luò)本身處于一個(gè)無政府、無主管的狀態(tài)；其次，如今使用較多的系統(tǒng)都存在著漏洞；最后，TCP／IP協(xié)議中的隱患較大。這些網(wǎng)絡(luò)本身不可避免的問題都會(huì)對(duì)計(jì)算機(jī)的安全造成較大隱患。

（2）因?yàn)橥饨缤{因素而導(dǎo)致的問題，具體有自然威脅與人為威脅兩種，其中人為威脅是我們需要處理的重點(diǎn)，包括黑客攻擊、病毒入侵以及非法訪問等。

（3）用戶安全意識(shí)淡薄導(dǎo)致的問題。由于安全意識(shí)的單薄，很容易出現(xiàn)其重要性文件不加密、密碼泄露等問題，這就給黑客提供了有機(jī)可趁的機(jī)會(huì)。另外，由于防范意識(shí)不強(qiáng)，使得系統(tǒng)漏洞修復(fù)不及時(shí)甚至根本不理會(huì)也會(huì)給計(jì)算機(jī)網(wǎng)絡(luò)帶來很大的威脅。

（4）缺乏評(píng)估和監(jiān)控手段。安全評(píng)估是確保計(jì)算機(jī)安全的基礎(chǔ)。但是，我們對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全的保護(hù)大多數(shù)從更事前的預(yù)防以及事后的彌補(bǔ)出發(fā)，對(duì)于事發(fā)過程中的評(píng)估以及監(jiān)控做的很不到位，正是基于這一問題，本文提出了有關(guān)計(jì)算機(jī)網(wǎng)絡(luò)安全的檢測與監(jiān)控技術(shù)的研究。

三、計(jì)算機(jī)網(wǎng)絡(luò)安全的檢測與監(jiān)控技術(shù)

計(jì)算機(jī)網(wǎng)絡(luò)安全的檢測技術(shù)包括網(wǎng)絡(luò)安全掃描技術(shù)、網(wǎng)絡(luò)安全自動(dòng)檢測系統(tǒng)以及網(wǎng)絡(luò)入侵監(jiān)控預(yù)警系統(tǒng)

（一）網(wǎng)絡(luò)安全的掃描技術(shù)

網(wǎng)絡(luò)安全的掃描技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)安全的檢測技術(shù)中非常重要的一部分，我們通過這一技術(shù)可以發(fā)現(xiàn)Web服務(wù)器中有關(guān)TCP/IP端口分配、開放服務(wù)以及Web服務(wù)軟件的版本等漏洞。此技術(shù)是具有主動(dòng)、非破壞性以及有效性。具體的使用上，它使用腳本對(duì)系統(tǒng)模擬攻擊，然后對(duì)結(jié)果做出分析。一般來說，這種技術(shù)與防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)之間應(yīng)互相配合使用，這樣可以非常有效地改善系統(tǒng)漏洞，以起到防范黑客入侵的功效。

網(wǎng)絡(luò)安全的掃描技術(shù)在實(shí)現(xiàn)中可以分為以下三個(gè)階段：首先，發(fā)現(xiàn)目標(biāo)；其次，收集關(guān)于目標(biāo)的信，；最后，對(duì)收集到的信息進(jìn)行判斷，而判斷的主要目標(biāo)是系統(tǒng)的漏洞所在。在這三個(gè)階段中，網(wǎng)絡(luò)安全掃描技術(shù)的實(shí)施中包括：端口掃描(Port Scan)、漏洞掃描(Vulnerability Scan)、操作系統(tǒng)探測(Operating System Identification)、如何探測訪問控制規(guī)則(Firewalking)以及PING掃射(Ping Sweep)等。

（二）自動(dòng)檢測系統(tǒng)

網(wǎng)絡(luò)安全的自動(dòng)檢測系統(tǒng)是針對(duì)防火墻、虛擬專用網(wǎng)絡(luò)（VPN，）防火墻等技術(shù)無法解決的問題而開發(fā)的一種對(duì)系統(tǒng)安全進(jìn)行更加主動(dòng)、有效的檢測系統(tǒng)。這種系統(tǒng)的一般來說是依據(jù)NSS、Strobe、SATAN、ISS等網(wǎng)絡(luò)安全檢測工具來實(shí)現(xiàn)的。

其中安全測試的對(duì)象可以分為配置文件測試、文件內(nèi)客以及保護(hù)機(jī)制測試、錯(cuò)誤修正測試、差別測試以及對(duì)于指定系統(tǒng)的測試。目前，在安全測試中，人工智能技術(shù)取得了較為不錯(cuò)的效果，對(duì)于特殊的漏洞的檢測尤為高效。

掃描器是實(shí)現(xiàn)網(wǎng)絡(luò)安全的自動(dòng)檢測系統(tǒng)的關(guān)鍵，這種程序能夠?qū)h(yuǎn)程或者本地主機(jī)的安全性弱點(diǎn)進(jìn)行掃描，而不是直接對(duì)網(wǎng)絡(luò)的漏洞進(jìn)行攻擊。掃描器具有3個(gè)功能，即：發(fā)現(xiàn)目標(biāo)；找出目標(biāo)主機(jī)或網(wǎng)絡(luò)正運(yùn)行的服務(wù)；對(duì)具有漏洞的服務(wù)進(jìn)行測試。其最基本原理是在用戶試圖對(duì)特殊服務(wù)進(jìn)行連接的時(shí)候?qū)B接所產(chǎn)生的消息進(jìn)行檢測。

在網(wǎng)絡(luò)安全的自動(dòng)檢測系統(tǒng)運(yùn)行中，首先要做的是對(duì)攻擊方法進(jìn)行收集與分先，在這個(gè)過程里，為了確保網(wǎng)絡(luò)安全自動(dòng)檢測系統(tǒng)的時(shí)效性，我們可以設(shè)計(jì)一種攻擊方法插件（Plug-in）所構(gòu)成的攻擊方法庫。它其實(shí)是用于對(duì)攻擊方法進(jìn)行描述與實(shí)現(xiàn)的動(dòng)態(tài)鏈接庫。

在方法庫的基礎(chǔ)上，我們可以設(shè)計(jì)實(shí)現(xiàn)掃描調(diào)度程序和掃描控制程序。這種程序能夠接受用戶命令，然后配置需要掃描的目標(biāo)網(wǎng)絡(luò)以及主機(jī)，并分析處理這種掃描結(jié)果，圖1比較直觀的反映了網(wǎng)絡(luò)安全自動(dòng)檢測系統(tǒng)工作的整體流程。而掃描調(diào)度根則是依據(jù)掃來自描控制程序的掃描要求以及動(dòng)態(tài)調(diào)用方法庫中的方法對(duì)目標(biāo)進(jìn)行掃描，然后把掃描結(jié)果反饋到掃描控制程序中。下圖是網(wǎng)絡(luò)安全自動(dòng)測試系統(tǒng)的總體架構(gòu)圖。

（三）網(wǎng)絡(luò)入侵預(yù)警系統(tǒng)