《毕业设计(论文)网络安全分析.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)网络安全分析.doc(24页珍藏版)》请在三一办公上搜索。
1、 电 子 科 技 大 学毕业设计(论文)专 业: 计 算 机 网 络 考生姓名: 准考证号 单 位: 电子科技大学自学考试办公室制2011年 10 月15 日 电子科技大学毕业设计(论文)任务书题目:网络安全分析任务与要求:通过对计算机网络面临威胁的分析,该文提出了网络安全方面的一些具体防范措施,提高了计算机网络的安全性。时间:从2011年8月20日至2011年10月15日共9 周专业:计算机网络 专业代码:B080709考生姓名:岳建国 准考证号:010606201201单位:电子科技大学继续教育学院指导单位或教研室:指导老师(签名): 职称: 2011 年10月15日 毕业设计进度计划表日
2、期工作内容执行情况指导教师签名2011年8月21日进行毕业资料的收集和整理2011年8月25日系统方案的设计与实现2011年9月10日经中断检查后,对系统方案的设计与实现进行修改及完善2011年9月15日论文的构思、修改及撰写2011年10月5日论文的打印及装订2011年10月10日将论文由网上发给指导教师2011年 10月15日论文提交指导教师对进度计划实施情况总评 签 名: 年 月 日本表作为评定学生平时成绩的依据之一。摘要在信息化时代,随着科技的不断发展,网络更以惊人的速度向前发展,不断更新技术,便捷的网络工具在通讯上逐渐主流化,方便快捷的优势使人们逐渐接受了快速化的网络信息生活。网络通
3、讯的确给我们带来了太多的便捷,但是也存在大量的问题,网络也存在大量的问题,网络安全得不到保障的话,会给我们的生活带来很多麻烦,网络黑客往往会攻击我们的程序,会使我们造成很大的损失,甚至损失无法估量。随着信息的不断发展,我们在利用网络的同时,也应该加强网络的防范,在自己充分利用网络的同时,也要防止网络的侵害,让网络更好的为其服务。关键字:防火墙技术、网络安全、信息、黑客Summary In the information age, with the constant development of technology, network more with amazing speed forwar
4、d, constantly upgrading technology, convenient tool for the communication network of gradually Zhuliu, Fang Bian quickly the advantages of making people gradually to accept the fast of the network Information life.Network communication is indeed brought us much convenience, but there are a lot of pr
5、oblems, there are a lot of network problems, network security can not be protected, will bring a lot of trouble in our lives, hackers tend to attack our procedures, we will be very costly, even incalculable loss. With the continuous development of information, we use the network, it should also stre
6、ngthen the network of prevention, in their full use of network, the network must prevent violations, to better serve the network.Keywords: firewall, network security, information, hackers目 录引 言 7第一章 计算机网络安全概述81.1 网络安全的定义81.2 网络安全的基本要素81.3 网络安全的重要性10第二章 计算机网络安全威胁分析13第三章 网络安全的防范策略153.1 物理安全策略173.2 访问控
7、制策略183.3 信息加密策略193.4. 安全访问策略20结束语22致谢23参考文献24【正文】网络安全分析作者:岳建国 指导教师:酒晋蓉引 言随着全球信息化的飞速发展,计算机技术也在飞速的发展,以Internet为代表的信息网络技术的应用正日益普及,应用领域从传统的小型业务系统,逐渐向大型关键业务系统扩展,信息网络已经深入到国家的政府、军事、文教、金融、商业等诸多领域,可以说网络无处不在,他正在改变我们的工作方式和生活方式。随着网络的不断发展,通信日益便捷,把我们的生活推向快速化,我们也逐渐适应了快速的通信化生活,由于信息的高速、便捷,人们都在利用高科技技术进行通信,使我们的生活向着高速化
8、发展,人们逐渐放弃了陈旧的通信方式,改用快捷便利的通信方式,使我们的生活逐渐信息化和多样化,把我们的生活装点的更加丰富多彩。伴随着网络的普及,信息给人们带来了很多好处,但是网络也给我们带来一些问题,安全日益成为影响网络效能的重要问题,据调查,大多数数据表明信息安全成为一个非常严重的社会问题,已经引起了人们的足够重视。而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出更高的要求,国际上的计算机犯罪在急剧增加,近年来,国内的计算机犯罪案件有急剧上升,计算机犯罪已经成为普遍的国际性问题。网络安全不仅关系到国计民生,还与国家安全息息相关,它涉及到国家政治和军事命脉,影响
9、到国家的安全和主权,一些发达国家都把国家网络安全纳入了国家安全体系。因此,网络安全不仅成为上家关注的焦点,也是技术研究的热门领域,同时也是国家和政府关注的焦点。在信息不断发展的今天,我们不仅要充分的利用网络的有利资源,还应该加强网络安全的防范,加强防火墙技术的发展对网络安全能够得到更好的维护。网络安全化会使我们的生活更加的丰富,使通讯更加安全,让信息快速的发展。第一章 计算机网络安全概述1.1 网络安全的定义国际标准化组织(ISO)引用ISO 74982文献中对安全的定义是这样的:安全就是最大程度地减少数据和资源被攻击的可性。从本质上讲,网络安全就是信息的安全,是指网络系统的硬件、软件和系统中
10、的数据受到保护,不受偶然的或者恶意的攻击而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性,可控性和不可否认性的相关技术和理论都是网络安全所要研究的领域。网络安全的具体含义会随着重视“角度”的变化而变化。从社会教育和意识形态的角度来说,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制,数据可以单独保存,也可以分开保存。1.2网络安全的基本要素网络安全的基本要素,实际上是网络安全的目的,即机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可控性(c
11、ontrollability)与不可否认性(Non-Repudiation)。 1机密性完整性是指保证信息不能被非授权访问,即非授权用户得到信息也无法知晓信息的内容,因而不能使用。2完整性完整性是只有得到允许的人才能修改实体或者进程,并且能够判别出实体或者进程是否已被修改。 3可用性可用性事信息资源服务功能和性能饥可靠性的度量,涉及到物理、网络、系统、数据、应户和用户灯多方面的因素,是对信息网络总体可靠性的要求。 4可控性 可控性主要指对国家信息的监视设计。 5不可否认性 不可否认性是对出现的安全问题提供调查的依据和手段。1.3 网络安全的重要性随着计算机技术的飞速发展,以Internet为代
12、表的信息网络技术的应用正日益普及,应用领域从小型的业务系统,逐渐向大型关键业务系统扩展,信息网络已经深入到国家的政府、军事、金融、商业等诸多领域,可以说网络无处不在,它正在改变我们的工作方式和生活方式。伴随网络的普及,安全日益成为影响网络效能的重要问题。据上海艾瑞市场咨询有限公司调查,信息安全成为一个非常严重的社会问题,已经引起了人们的足够重视。而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。据美国联邦调查局的报告,计算机犯罪是商业犯罪中最大的犯罪类型之一,每笔犯罪的平均金额为4.5万美元,美国每年因为计算机犯罪造成的经济损失高达150亿美元。近
13、年来,国内的计算机犯罪案件有急剧上升,计算机犯罪已经成为普遍的国际性问题。网络安全不仅关系到国计民生,还与国家安全息息相关,它涉及到国家政治和军事命脉,影响到国家的安全和主权。一些发达国家如英国、美国、日本、俄罗斯等都把国家网络安全纳入了国家安全体系。因此,网络安全不仅成为商家关注的焦点,也是技术研究的热门领域,同时也是国家和政府关注的焦点。第二章 计算机网络安全威胁分析2.1 操作系统的安全问题目前,被广泛使用的网络操作系统主要是UNIX、WINDOWS和Linux等,这些操作系统以及应用系统自身存在漏洞对信息安全系统的使用网络的运行构成严重的安全威胁,许多新型计算机病毒都是利用操作系统的漏
14、洞进行传染。如不对操作系统进行及时更新,弥补各种漏洞,计算机即使安装了防毒软件也会反复感染。2.2 病毒的破坏计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、破坏网络资源、使网络效率急剧下降、甚至造成计算机和网络系统的瘫痪,是影响网络安全的主要因素。自从1983年首次被发现计算机病毒以来,至今全世界已发现了近数万种病毒,并且还在不断增多。病毒的花样不断翻新,手段越来越高。特别是INTERNET的广泛应用,病毒借助网络传播更广更快,带有黑客性质的病毒和特洛依木马等有害代码大量涌现。2.3 黑客黑客(hacker)源于英语动词hack,意为“劈,砍”,引申为“干了一件非常漂亮的工作”。
15、在早期麻省理工学院的校园俚语中,“黑客”则有“恶作剧”之意,尤指手法巧妙、技术高明的恶作剧。在日本新黑客词典中,对黑客的定义是“喜欢探索软件程序奥秘,并从中增长了其个人才干的人。他们不象绝大多数电脑使用者那样,只规规矩矩地了解别人指定了解的狭小部分知识。”由这些定义中,我们还看不出太贬义的意味。他们通常具有硬件和软件的高级知识,并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全,他们以保护网络为目的,而以不正当侵入为手段找出网络漏洞。 另一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作(如用暴力法破解口令),他们也具备广泛的电脑知识,但与黑客不同的是他们以破
16、坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。 黑客攻击的目的:取目标系统的非法访问-获得不该获得的访问权限b、获取所需资料-获得黑客想要获得的相关资料,包括科技情报、个人资料、金融帐户、技术成果、系统信息等等c、篡改有关数据-篡改以上资料,达到非法目的d、利用有关资源-利用这台机器的资源对其它目标进行攻击,发布虚假信息,占用存储空间黑客攻击的方式:远程攻击-远程攻击指外部黑客通过各种手段,从该子网以外的地方向该子网或者该子网内的系统发动攻击。远程攻击的时间一般发生在目标系统当地时间的晚上或者凌晨时分,远程攻击发起者一般不会用自己的机器直接发动攻击,而是通过跳板的方式,对
17、目标进行迂回攻击,以迷惑系统管理员,防止暴露真实身份。 黑客攻击所采用的途径:黑客之所以能得手,无非是利用了各种安全脆弱点,其中包括:管理漏洞-如两台服务器同一用户/密码,则入侵了A服务器,B服务器也不能幸免;软件漏洞-如Sun系统上常用的Netscape EnterPrise Server服务,只需输入一个路径,就可以看到Web目录下的所有文件清单;又如很多程序只要接受到一些异常或者超长的数据和参数,就会导致缓冲区溢出;结构漏洞-比如在某个重要网段由于交换机、集线器设置不合理,造成黑客可以监听网络通信流的数据;又如防火墙等安全产品部署不合理,有关安全机制不能发挥作用,麻痹技术管理人员而酿成黑
18、客入侵事故;信任漏洞-比如本系统过分信任某个外来合作伙伴的机器,一旦这台合作伙伴的机器被黑客入侵,则本系统的安全受严重威胁。2.4 口令入侵为管理和计费的方便,一般来说,单位或公司为每个用户分配一个账号,并根据其应用范围,分配相应的权限。某些人员为了访问不属于自己应该访问的内容或将上网的费用转嫁给他人,用不正常的手段窃取别人的口令,造成了费用管理的混乱。2.5 拒绝服务拒绝服务又叫分布式D.O.S攻击,它是使用超出被攻击目标处理能力的大量数据包消耗系统可用系统、带宽资源,最后致使网络服务瘫痪的一种攻击手段。作为攻击者,首先需要通过常规的黑客手段侵入并控制某个网站,然后在服务器上安装并启动一个可
19、由攻击者发出的特殊指令来控制进程,攻击者把攻击对象的IP地址作为指令下达给进程的时候,这些进程就开始对目标主机发起攻击。这种方式可以集中大量的网络服务器带宽,对某个特定目标实施攻击,因而威力巨大,顷刻之间就可以使被攻击目标带宽资源耗尽,导致服务器瘫痪。2.6 非正常途径访问或内部破坏在网络中,有人为了报复而销毁或篡改人事档案记录;有人改变程序设置,引起系统混乱;有人越权处理公务,为了个人私利窃取机密数据。这些安全隐患都严重地破坏了学校的管理秩序。2.7 不良信息的传播在接入Internet后,都可以在自己的电脑上进入Internet。目前Internet上各种信息良莠不齐,有关色情、暴力、邪教
20、内容的网站泛滥。这些有毒的信息违反了人类的道德标准和有关法律法规,对世界观和人生观正在形成的学生来说,危害非常大。2.8 设备受损设备破坏主要是指对网络硬件设备的破坏。校园网络涉及的设备分布在整个校园内,管理起来非常困难,任何安置在不能上锁的地方的设施,都有可能被人有意或无意地损坏,这样会造成计算机网络全部或部分瘫痪的严重后果。2.9 敏感服务器使用的受限由于财务等敏感服务器上存有大量重要数据库和文件,因担心安全性问题,不得不与内部网络物理隔离,使得应用软件不能发挥真正的作用。第三章 网络安全的防范策略解决网络安全问题涉及的范围广泛;不安全因素主要集中在网络传播介质及网络协议的缺陷、密码系统的
21、缺陷、主机操作系统的缺陷上,因此在安全策略方面重点考虑:3.1物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。 抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一
22、是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。 3.2访问控制策略访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。下面我们分述各种访问控制策略。3.2.1 入网访问控制 入网访问控制为网络访问提供了第一
23、层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。 用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。 对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络之外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符
24、的混合,用户口令必须经过加密,加密的方法很多,其中最常见的方法有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。经过上述方法加密的口令,即使是系统管理员也难以得到它。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。 网络管理员应该可以控制和限制普通用户的帐号使用、访问网络的时间、方式。用户名或用户帐号是所有计算机系统中最基本的安全形式。用户帐号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的“证件”、用户可以修改自己的口令,但系统管理员应该可
25、以控制口令的以下几个方面的限制:最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。 用户名和口令验证有效之后,再进一步履行用户帐号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问“资费”用尽时,网络还应能对用户的帐号加以限制,用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确,则认为是非法用户的入侵,应给出报警信息。3.2.2网络的权限控制 网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。 网络控制用户和用户组可
26、以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽(IRM)可作为其两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器,可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户;(3)审计用户. 3.2.3 目录级安全控制网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权
27、限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(File Scan)、存取控制权限(Access Control)。用户对文件或目标的有效权限取决于以下二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问 ,从而加强了网络和服务器的安全性。3.2.4属性安全控制 当用文件、目录和网络设
28、备时,网络系统管理员应给文件、目录等指定访问属性。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表,用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。网络的属性可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。3.2.5 网络服务器安全控制网络允许在服
29、务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块,可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改、删除重要信息或破坏数据;可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。3.2.6 网络监测和锁定控制网络管理员应对网络实施监控,服务器应记录用户对网络资源的访问,对非法的网络访问,服务器应以图形或文字或声音等形式报警,以引起网络管理员的注意。如果不法之徒试图进入网络,网络服务器应会自动记录企图尝试进入网络的次数,如果非法访问的次数达到设定数值,那么该帐户将被自动锁定。3.2.7 网络端口和节点的安全控制网络中服务器的端口
30、往往使用自动回呼设备、静默调制解调器加以保护,并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户,静默调制解调器用以防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制,用户必须携带证实身份的验证器(如智能卡、磁卡、安全密码发生器)。在对用户的身份进行验证之后,才允许用户进入用户端。然后,用户端和服务器端再进行相互验证。3.2.8 防火墙控制3.2.8.1防火墙的概念当一个网络,接入以后,而系统的安全性除了考虑病毒、系统的健壮性之外,更主要的防止非法用户的入侵。而目前防制措施主要是靠防火墙技术完成。防火墙是指由一个软件和硬件设备组合而成,处于网络群体计算机与
31、外界通道之间,限制外界用户对于内部网络访问以及管理内部用户访问外界网络的权限。实际上防火墙作为一种网络监视和过滤器,它监视每一个通过的数据报文和请求。一方面对可信赖的报文和应用请求允许通过,另一方面对有害的或可疑的报文禁止其通过。防火墙具有使用简便,高速、逻辑漏洞少等特点。3.2.8.2防火墙在网络中的位置为了达到对网络数据传输进行监视的目的,防火墙一般位于局域网和广域网之间或局域网与局域网之间。防火墙位于局域网和广域网之间。Intranet FInterant ; 在这种情况之下,防火墙的主要作用是允许局域网内的用户访问,如浏览WWW网站,收发E-mail,并且禁止来自于上的未知用户闯入局网
32、进行破坏或窃取机密信息。防火墙在局网与局域网之间。Intranet FIntranet 在这种情况下,防火墙的作用是允许公用信息在两个网络中传输,保证每个网段的私有信息不被对方访问。可以看出无论哪一种形式,防火墙都是数据报文进出网络的必经之路,这样才能保证防火墙对网络的监视保护作用。3.2.8.3 防火墙的分类按防火墙在网络中所起的作用,防火墙可以分成两种,一种是与路由设备合二为一,通常为过滤路由器或是网关主机防火墙,另一种叫做堡垒主机式防火墙,它不具有路由功能。过滤路由器、网关主机防火墙是在路由器和网关主机上加上包过滤的功能,是网络中的第一道防线。因为它具有路由的功能,所以它的安全性较差。堡
33、垒主机式防火墙是网络中最为重要的安全设备,通常以桥接的方式安装在路由器和网络之间,它的唯一作用是保证网络的安全使用,这种防火墙在网络中的具体位置如图。IntranetF 边界路由器 internet按照所定义的网络层次,防火墙可分为网络层防火墙和应用层防火墙。包过滤型防火墙是网络层防火墙,它以用户定义的过滤规则对每一个通过它的数据报文进行过滤,一般是检查一个IP报文的五个基本元素:源地址、目的地址、协议、源端口号、目的端口号。如果规则允许报文通过,报文就可以通过防火墙,反之则不能。包过滤不检查连接请求的会话状态,也不会对传输数据进行检查。代理型防火墙,属于应用层防火墙,代理的功能是对来自局域网
34、内用户的会话求进行会话请求转发。在转发过程中对会话进行过滤。因为代理在应用层,它可以对会话的状态和传输的数据进行检查和过滤。从安全上讲,代理的安全性要比包过滤功能更强,因为一个IP报文到了代理层,它的寿命就已经截止了,也就是说代理真正地阻断了网络的传输。目前应用于网络安全的防火墙系统基本上属于上面所讲到的两种防火墙系统。但在实际应用中的防火墙经常是这两种方法的合体,即包过滤加代理行防火墙。同时,为了防范黑客的各种各样攻击行为,通常的防火墙产品还要加上其他许多功能。3.2.8.4 防火墙集中的主要功能1支持透明连接透明性是指对客户的透明和对网络设备的透明。无论安装防火墙还是卸载防火墙,第一不必改
35、变网络的拓扑结构,不需要修改网络设备的参数与设置。第二在用户端亦不必作任何修改和设置就可以实现基于IP协议的各种信息的传输。2带有DMZ区的连接DMZ原意为停火区,在防火墙的应用中是指防火墙将逻辑上同一网段分成物理上的两个网段,其中一个物理网段为正常的受保护网段,另一个物理网段为DMZ,用来连接要对外开放的主机,防火墙对DMZ区只作少量的保护或不做保护。3包过滤功能 包过滤功能防火墙最主要的功能之一,是防火墙必备的功能模块。包过滤指的是对IP数据包的过滤。对防火墙需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号,数据包的源地址、目的地址、源端口、目的端口等,然后和设定规则进
36、行比较,根据比较的结果对数据包进行转发或者丢弃。大多数数据包过滤系统在数据本身上不作任何事,不作关于内容的决定。有了数据过滤包,可以不让任何人从外界使用Telent 登录,或者让每个人经SMTP向我们发送电子邮件,或者是某个机器经由NNTP把新闻发给我,而其他机器不能这样做。但是你不能控制这个用户能从外部远程登录而他用户不能这样做,因为“用户”不是数据过滤包系统所能辨认的。同时你也不能做到发送这些文件而不是那些文件,因为“文件”也不是数据包过滤系统所能辨认的。防火墙包过滤功能应具有的特点:支持对进入报文、转发报文和出去的报文的分别过滤。支持非操作符;支持端口范围的控制;支持ICMP报文类型的控
37、制。使用包过滤模块会对网络传输速率有影响,但速率的降低不能超过25%4应用层过滤应用层的过滤是一种细粒度的过滤,实际上是对报文数据内容的过滤。在应用层可以实现对URL的过滤以及其它网络应用层协议(如FTP)的协议命令的过滤和报文内容的过滤。通过应用层过滤,可以禁止非法站点的连接(这些站点通常是含有反动、黄色信息)达到对非法信息的过滤。5透明代理与控制功能代理的功能是对来自局域网内的用户的会话请求进行会话规划请求转发。从安全角度讲,这样做有以下几个用处:完全阻断了网络的传输通道。可以进行访问控制。隐藏内部网络结构,因为最终请求是由防火墙发出的,外面的主机并不知道与哪个用户通信。解决IP地址紧缺的
38、问题。使用代理服务器只需防火墙有一个公网的IP地址。代理服务器优点在于:支持多种TCP上层协议,完全的透明性,对防火墙以外任何设备以及主机无需作任何修改。代理服务器不仅仅是为了接通网络,更重要的一点是为了保证网络的安全。代理层访问控制模块使代理服务器模块具有完整的安全手段。 6防止IP 地址欺骗。黑客的一种惯用手段是修改报文,使报文的源地址成为他要攻击的主机的同网段的地址。利用这种办法欺骗目标主机并取得目标主机的信任,达到为所欲为的目的。防火墙应能智能地判断数据报文的真正来源,对假冒报文予以,使黑客无法进入内部网络,做到防止外部用户盗用内部网段空闲的IP 地址。7. 地址绑定功能地址绑定即固定
39、主机IP地址和网络适配器的MAC地址的一一对应关系。地址绑定的主要作用是防止非法用户盗用合法用户的IP地址,由于每块网卡的MAC地址都是固定的,经过地址绑定后,地址就与计算机或用户(若每台计算机的用户固定)的对应关系就固定了。也就是说,只有特定的主机才能使特定的IP地址,这就可以保证IP地址不盗用。地址绑定加快了网络的速度,因为绑定之后,防火墙就不用定时地动态查询局域网内部主机的MAC地址,这就减少了网络资源的浪费,加快了网络的速度。8地址转换功能防火墙通过地址转换技术,将所有从内部发出的通过防火墙报文的源地址修改成为防火墙本身的IP地址,使得外部网络无法了解内部网络的结构使用地址转换技术,要
40、求所有的网络连接只能从内部发起,这样更是极大的提高了网络安全性。另外除了安全性,地址转换,还有一个好处,解决IP地址缺乏的问题,如果一个园区只有少数的公网地址,利用地址转换技术,可以使所有连接到防火墙上的主机都可以与相连。局域网的用户认为在与之间通信,而上的主机以为是与防火墙通信。这样就因隐藏了网段的网络结构,因为只能见到防火墙的一个地址。9. VPN功能VPN是指虚拟专用网络。实际上是在公共网上建立内部网络。其重点就是保证在公众网上传播的内部信息不被外人获取。一般有专用的网络保密机与防火墙在此功能上有交叉。10. 规则设施功能网络安全管理人员想知道一个确定的包进入入防火墙后会发生什么事情,这
41、时可以利用规则测试的功能。安全管理员可以设计一些虚拟的报文,利用规则测试功能来验证设计的规则是否正确,是否符合设计的目标。这样可以增加工作效率并保证规则设置的正确性。11支持远程在线状态管理、配置管理、审记管理通过安全管理中心和其他管理软件可以对防火墙进行远程在线管理。既可以在远程非常直观的观察到防火墙的运行情况,也可以远程启动关闭防火墙和重新启动防火墙。防火墙系统中运行的代理守护进程,通过守护进程管理程序,可以在远端对防火设备的各个功能模块进行设置和维护,以便于安全管理人员对防火墙的管理。日志能记录完整的网络信息,包括建立的连接时间,双方地址,以及传输信息量。支持远程审记日志是保障安全的重要
42、手段,由于网络设备的审记信息通常大得惊人,观察分析审记日志是让管理人员非常头痛的是工作。好的防火墙应支持远程审记管理,使得管理人员能够在远端的GUI界面下轻松地观察和分析审记信息,使得审记的分析更加直观。从安全的角度讲,日志主要是起到抗抵赖的作用的,即防火墙记录了用户的网络使用情况,如果有人对网络进行了攻击或是有窃密的行为,事后使我们有据可查,对这样的人进行法律上的制裁或者防止他下一次的攻击。 12支持安全管理中心集中统一管理防火墙的管理代理守护进程为安全管理中心留有接口程序,能够实现安全管理中心对防火墙的安全管理。使用安全管理中心,好处在于它的安全性和集中统一管理能力。其一、安全管理中心通过
43、安全通道与网络安全设备通信来保证对防火墙设备设置和维护管理信息的安全。其二、安全管理中心能够做到远程的统一管理,一台安全管理中心机可以管理多台防火墙以及其它网络安全设备。3.3信息加密策略信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。 信息加密过程是由形形 色色的加密算法来具体实施,它以很小的代价提供很大的安全保护
44、。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有:美国的DES及其各种变形,比如Triple DES、GDES、New DES和DES的前身Lucifer; 欧洲的IDEA;日本的FEALN、LOKI91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。常规密码的优点是有
45、很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。比较著名的公钥密码算法有:RSA、背包密码、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭园曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,比如
