《计算机网络安全的防范策略论文.doc》由会员分享,可在线阅读,更多相关《计算机网络安全的防范策略论文.doc(41页珍藏版)》请在三一办公上搜索。
1、毕 业 设 计论文题目:计算机网络安全的防范策略 系 别: 信息工程二系 班 级: 姓 名: 指 导 教 师: 2011年6月5 日计算机网络安全的防范策略摘 要信息技术的使用给人们的生活、工作带来了数不尽的便捷和好处,然而计算机信息技术也和其他技术一样是一把双刃剑。当大部分人们使用信息技术提高工作效率,为社会创造更多财富的同时,另外一些人利用信息技术却做着相反的事。他们非法入侵他人的计算机系统窃取机密信息、篡改和破坏数据,给社会造成难以估计的巨大损失。据统计全球约20秒钟就有一次计算机入侵事件发生,Internet上的网络防火墙约1/4被突破,约70%以上的网络信息主管人员报告机密信息泄露而
2、受到了损失。网络安全是一个关系国家安全和主权、社会的稳定、民主文化的继承和发扬的重要问题,网络安全涉及到计算机科学、网络技术通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种科学。本文对计算机网络安全的概念加以阐述,并对目前计算机网络存在的安全隐患进行了分析,探讨了针对计算机安全隐患的防范策略,同时深入探究各方面网络安全问题的解决,可以使读者得到对网络安全技术的深入了解。关键字:计算机网络 网络安全 防范策略 防火墙The preventive strategy of network SecurityAbstractThe use of information technology
3、 takes many benefits to peoples life and work, but the computer information technology is same with other technologies, like a double-edged sword. While most people use information technology to improve efficiency and create more wealth for the community, others are doing the opposite. They invade c
4、omputer systems to steal confidential information, data tampering and break pots, which will make tremendous loss to society. According to statistics, a global computer intrusion incidents will happen in 20 seconds, 1 / 4 of Internet firewall on the network are broken ,and about 70% of network infor
5、mation receive the loss. Network security is a matter of national security and sovereignty, social stability, democratic culture, inherit and carries forward the important issue of network security related to computer science, network technology, communication technology, cryptography, information s
6、ecurity technology, applied mathematics, number theory, information theory, etc. This text expatiates the concept of computer network security, analyzes the present computer network securitys hidden danger, and it also discusses the preventive strategy in computer securitys hidden danger. For exampl
7、e: firewall, authentication encryption, anti-virus technology is today commonly used method, this method of in-depth exploration of these various aspects of network security problems, can make the reader understand network security technology better. Key words: network;network security;security;fire
8、wall目 录目 录21 引言11.1研究背景11.2研究目的及意义12 网络安全相关知识32.1计算机网络安全的概念32.2计算机网络安全的重要性42.3计算机网络安全理论基础42.3.1计算机系统安全级别42.3.2网络安全属性52.3.3网络安全机制52.4计算机网络安全现状62.5计算机网络面临的威胁72.6计算机网络安全应具备的功能83 计算机网络安全防范策略93.1防火墙技术93.1.1防火墙的基本概念和作用93.1.2防火墙的分类103.1.3防火墙的工作原理123.1.4防火墙的使用心得123.2数据加密与用户授权访问控制技术153.2.1数据加密技术及分类153.2.2数据加
9、密原理163.2.3几种数据加密技术的比较173.3入侵检测技术193.3.1入侵检测系统203.3.2入侵检测技术的研究总结203.4防病毒技术253.4.1计算机病毒的介绍253.4.2计算机病毒的组成和分类263.4.3关于计算机病毒的监测及清除心得263.5安全管理队伍的建设28结论31谢辞32参考文献33外文资料341 引言目前,全世界的军事、经济、社会、文化等各个方面都越来越依赖于计算机网络,人类社会对计算机的依赖程度达到了空前的记录。由于计算机网络的脆弱性,这种高度的依赖性使国家的经济和国防安全变得十分脆弱,一旦计算机网络受到攻击而不能正常工作,甚至瘫痪,整个社会就会陷入危机。计
10、算机网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。本文从计算机网络安全的概念,计算机网络安全的重要性,计算机网络安全的理论基础,计算机网络安全现状,计算机网络面临的威胁,计算机网络安全应具备的功能,计算机网络安全防范策略等几方面加以阐述并综合分析,来加深对计算机网络安全的理解。1.1研究背景随着信息技术的不断发展和应用,人们在享受到越来越丰富的信息资源的同时,也受到了越来越严重的安全威胁。信息安全的重要性与
11、日俱增。同时,我们不得不注意到,网络虽然功能强大,也有其脆弱易受到攻击的一面。据美国FBI统计,美国每年因网络安全问题所造成的经济损失高达75亿美元,而全求平均每20秒钟就发生一起Internet计算机侵入事件。在我国每年因黑客入侵、计算机病毒的破坏也造成了巨大的经济损失。人们在利用网络的优越性的同时,对网络安全问题也决不能忽视。如何建立比较安全的网络体系,值得我们关注研究。1.2研究目的及意义计算机网络技术的迅猛发展和网络系统的深入应用,信息网络的社会化和国际化使人类社会的生活方式发生了重大变化,网络已经成为今天的各项社会生活赖以存在的基础设施。但是网络社会越发达,它遭受攻击的危险性也越大。
12、如果想保证商务活动安全稳定的进行,保证网络安全是最关键的问题。网络安全不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变得无处不在。虽然计算机网络给人们带来了巨大的便利,但互联网是一个面向大众的开放系统,对信息的保密和系统的安全考虑得并不完备,存在着安全隐患,网络的安全形势日趋严峻。一般来说,网络安全由四个部分组成:一是运行系统的安全,即保证信息处理和传输系统的安全,它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失,避免由于电磁泄漏产生信息泄露;二是系统信息的安全,包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审
13、计,安全问题跟踪,计算机病毒防治,数据加密;三是信息传播的安全,指可对信息的传播后果进行控制,包括信息过滤等,对非法、有害的信息传播后造成的后果,能进行防止和控制,避免公用网络上大量自由传输的信息失控;四是信息内容的安全,它侧重于保护信息的保密性、真实性和完整性,避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。加强网络安全建设,是关系到单位整体形象和利益的大问题。目前在各单位的网络中都存储着大量的信息资料,许多方面的工作也越来越依赖网络,一旦网络安全方面出现问题,造成信息的丢失或不能及时流通,或者被篡改、增删、破坏或窃用,都将带来难以弥补的巨大损失,而对于政府等许多单位
14、来讲,加强网络安全建设的意义甚至关系到国家的安全、利益和发展。2 网络安全相关知识2.1计算机网络安全的概念国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取的技术和治理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的熟悉和要求也就不同。从普通使用
15、者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾难、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有治理方面的问题,两方面相互补充,缺一不可。我国网络安全从其本质来讲就是网络上信息安全,它涉及的领域相当广泛,这是因为目前的公用通信网络中存在着各式各样的安全漏洞和威胁。广义上讲,凡是涉及到网络上信
16、息的保密性、完整性、可用性和可控性的相关技术和理论,都是网络安全的研究领域。网络安全是指网络系统的硬件,软件及数据受到保护,不遭受偶然或恶意的破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断,且在不同环境和应用中又不同的解释。计算机网络安全包括以下几种:1运行系统安全。即保证信息处理和传输系统的安全,包括计算机系统机房环境和传输环境的法律保护、计算机结构设计的安全性考虑、硬件系统的安全运行、计算机操作系统和应用软件的安全、数据库系统的安全、电磁信息泄露的防御等。2网上信息系统的安全。包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据
17、加密等。3网上信息传输的安全。即信息传播后果的安全、包括信息过滤、不良信息过滤等。4网上信息内容的安全。即我们讨论的狭义的“信息安全”,侧重于保护信息的机密性、真实性和完整性,本质上是保护用户的利益和隐私。2.2计算机网络安全的重要性在信息化飞速发展的今天,计算机网络得到了广泛应用,但随着网络之间的信息传输量的急剧增长,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的攻击和破坏。攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息,还可以篡改数据库内容,伪造用户身份,否认自己的签名。更有甚者,攻击者可以删除数据库内容,摧毁网络节点,释放计算机病毒等等。这使数据的
18、安全性和自身的利益受到了严重的威胁。根据美国FBI(美国联邦调查局)的调查,美国每年因为网络安全造成的经济损失超过170亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的,超过50%的安全威胁来自内部,而仅有59%的损失可以定量估算。在中国,针对银行、证券等金融领域的计算机系统的安全问题所造成的经济损失金额已高达数亿元,针对其他行业的网络安全威胁也时有发生。由此可见,无论是有意的攻击,还是无意的操作,都将会给系统带来不可估量的损失,所以计算机网络必须有足够强的安全措施。无论是在局域网还是在广域网中,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密
19、性、完整性和可用性。2.3计算机网络安全理论基础2.3.1计算机系统安全级别为了帮助计算机用户区分和解决计算机网络安全问题,美国国防部公布了“桔皮书”(orange book,正式名称为“可信计算机系统标准评估准则” ),对多用户计算机系统安全级别的划分进行了规定。桔皮书将计算机安全由低到高分为四类七级:D1、C1、C2、B1、B2、B3、A1。其中D1级是不具备最低安全限度的等级,C1和C2级是具备最低安全限度的等级,B1和B2级是具有中等安全保护能力的等级,B3和A1属于最高安全等级。D1级:计算机安全的最低一级,不要求用户进行用户登录和密码保护,任何人都可以使用,整个系统是不可信任的,硬
20、件软件都易被侵袭。C1级:自主安全保护级,要求硬件有一定的安全级(如计算机带锁),用户必须通过登录认证方可使用系统,并建立了访问许可权限机制。C2级:受控存取保护级,比C1级增加了几个特性:引进了受控访问环境,进一步限制了用户执行某些系统指令;授权分级使系统管理员给用户分组,授予他们访问某些程序和分级目录的权限;采用系统审计,跟踪记录所有安全事件及系统管理员工作。B1级:标记安全保护级,对网络上每个对象都予实施保护;支持多级安全,对网络、应用程序工作站实施不同的安全策略;对象必须在访问控制之下,不允许拥有者自己改变所属资源的权限。B2级:结构化保护级,对网络和计算机系统中所有对象都加以定义,给
21、一个标签;为工作站、终端等设备分配不同的安全级别;按最小特权原则取消权力无限大的特权用户。B3级:安全域级,要求用户工作站或终端必须通过信任的途径连接到网络系统内部的主机上;采用硬件来保护系统的数据存储区;根据最小特权原则,增加了系统安全员,将系统管理员、系统操作员和系统安全员的职责分离,将人为因素对计算机安全的威胁减至最小。A1级:验证设计级,是计算机安全级中最高一级,本级包括了以上各级别的所有措施,并附加了一个安全系统的受监视设计;合格的个体必须经过分析并通过这一设计;所有构成系统的部件的来源都必须有安全保证;还规定了将安全计算机系统运送到现场安装所必须遵守的程序。2.3.2网络安全属性网
22、络安全具有三个基本的属性:机密性、完整性、可用性。1机密性是指保证信息与信息系统不被非授权者所获取与使用,主要范措施是密码技术。2完整性是指保证信息与信息系统可被授权人正常使用,主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。3可用性是指可以供正常被其他网络使用的相关技术。以上可以看出:在网络中,维护信息载体和信息自身的安全都包括了机密性、完整性、可用性这些重要的属性。2.3.3网络安全机制网络安全机制是保护网络信息安全所采用的措施,所有的安全机制都是针对某些潜在的安全威胁而设计的,可以根据实际情况单独或组合使用。如何在有限的投入下合理地使用安全机制,以便尽可能地降低安全风险,是值
23、得讨论的,网络信息安全机制应包括:技术机制和管理机制两方面的内容。网络安全技术机制包含以下内容:1加密和隐藏。加密使信息改变,攻击者无法了解信息的内容从而达到保护;隐藏则是将有用信息隐藏在其他信息中,使攻击者无法发现。2认证和授权。网络设备之间应互认证对方的身份,以保证正确的操作权力赋予和数据的存取控制;同时网络也必须认证用户的身份,以授权保证合法的用户实施正确的操作。3审计和定位。通过对一些重要的事件进行记录,从而在系统中发现错误或受到攻击时能定位错误并找到防范失效的原因,作为内部犯罪和事故后调查取证的基础。4完整性保证。利用密码技术的完整性保护可以很好地对付非法篡改,当信息源的完整性可以被
24、验证却无法模仿时,可提供不可抵赖服务。5权限和存取控制。针对网络系统需要定义的各种不同用户,根据正确的认证,赋予其适当的操作权力,限制其越级操作。6任务填充。在任务间歇期发送无用的具有良好模拟性能的随机数据,以增加攻击者通过分析通信流量和破译密码获得信息难度。网络信息安全不仅仅是技术问题,更是一个管理问题,要解决网络信息安全问题,必须制定正确的目标策略,设计可行的技术方案,确定合理的资金技术,采取相应的管理措施和依据相关法律制度。2.4计算机网络安全现状据了解,从1997年底至今,我国的政府部门、证券公司、银行等机构的计算机网络相继遭到多次攻击。公安机关受理各类信息网络违法犯罪案件逐年剧增,尤
25、其以电子邮件、特洛伊木马、文件共享等为传播途径的混合型病毒愈演愈烈。由于我国大量的网络基础设施和网络应用依赖于外国的产品和技术,在电子政务、电子商务和各行业的计算机网络应用尚处于发展阶段,以上这些领域的大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量,同时一些负责网络安全的工程技术人员对许多潜在风险认识不足。缺乏必要的技术设施和相关处理经验,面对形势日益严峻的现状,很多时候都显得有些力不从心,也正是由于受技术条件的限制,很多人对网络安全的意识仅停留在如何防范病毒阶段,对网络安全缺乏整体意识。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都
26、是致命的。在Internet网络上,因互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在一周内传遍全世界,这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门、Root kits、DOS和Sniffer是大家熟悉的几种黑客攻击手段,这些攻击手段却都体现了它们惊人的威力,时至今日,有愈演愈烈之势。这几类攻击手段的新变种,与以前出现的攻击方法相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次。从Web程序的控制程序到内核级Rootlets。黑客的攻击手法不断升级翻新,向用户的信息安全防范能力不断发起挑战。2.5计算机网络面临的威胁1自然灾害计算机信
27、息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。目前,我们不少计算机房并没有防震、防火、防水、避雷、防电磁泄漏或干扰等措施,接地系统也疏于周到考虑,抵御自然灾害和意外事故的能力较差。日常工作中因断电而设备损坏、数据丢失的现象时有发生。由于噪音和电磁辐射,导致网络信噪比下降,误码率增加,信息的安全性、完整性和可用性受到威胁。2黑客的威胁和攻击计算机信息网络上的黑客攻击事件越演越烈,已经成为具有一定经济条件和技术专长的形形色色攻击者活动的舞台。他们具有计算机系统和网络脆弱性的知识,能使用各种计算机工具。境内外黑客攻击破坏网络的问题十分严重,他们通常采用非法侵人
28、重要信息系统,窃听、获取、攻击侵人网的有关敏感性重要信息,修改和破坏信息网络的正常使用状态,造成数据丢失或系统瘫痪,给国家造成重大政治影响和经济损失。黑客问题的出现,并非黑客能够制造入侵的机会,从没有路的地方走出一条路,只是他们善于发现漏洞。即信息网络本身的不完善性和缺陷,成为被攻击的目标或利用为攻击的途径,其信息网络脆弱性引发了信息社会脆弱性和安全问题,并构成了自然或人为破坏的威胁。3计算机病毒90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进人到系统中进行扩散。计算机感染上病毒后,轻则使系统上作
29、效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。4垃圾邮件和间谍软件一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动,把自己的电子邮件强行“推入”别人的电子邮箱,强迫他人接受垃圾邮件。与计算机病毒不同,间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户信息。事实上,间谍软件日前还是一个具有争议的概念,一种被普遍接受的观点认为间谍软件是指那些在用户不知情的情况下进行非法安装发装后很难找到其踪影,并悄悄把截获的一些机密信息提供给第下者的软件。间谍软件的功能繁多,它可以监视用户行为或是发布广告,修改系统设置,威胁用
30、户隐私和计算机安全,并可能不同程度的影响系统性能。 5信息战的严重威胁信息战,即为了国家的军事战略而采取行动,取得信息优势,干扰敌方的信息和信息系统,同时保卫自己的信息和信息系统。这种对抗形式的目标,不是集中打击敌方的人员或战斗技术装备,而是集中打击敌方的计算机信息系统,使其神经中枢的指挥系统瘫痪。信息技术从根本上改变了进行战争的方法,其攻击的首要目标主要是连接国家政治、军事、经济和整个社会的计算机网络系统,信息武器已经成为了继原子武器、生物武器、化学武器之后的第四类战略武器。可以说,未来国与国之间的对抗首先将是信息技术的较量。网络信息安全应该成为国家安全的前提。6计算机犯罪计算机犯罪,通常是
31、利用窃取口令等手段非法侵人计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长,使得针对计算机信息系统的犯罪活动日益增多。2.6计算机网络安全应具备的功能为了能更好地适应信息技术的发展,计算机网络应用系统必须具备以下功能:1访问控制。通过对特定网段、服务建立的访问控制体系,将绝大多数攻击
32、阻止在到达攻击目标之前。2检查安全漏洞。通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。3攻击监控。通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取响应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。4加密通讯。主动地加密通讯,可使攻击者不能了解、修改敏感信息。5认证。良好的认证体系可防止攻击者假冒合法用户。6备份和恢复。可在攻击造成损失时,尽快地恢复数据和系统服务。7多层防御。攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。8设立安全监控中心。为信息系统提供安全体系管理、监控、保护及紧急情况服务。3 计算机网络安全防范策略 计算机网
33、络安全从技术上来说,主要由防病毒、防火墙、入侵检测等多个安全组件组成,一个单独的组件无法确保网络信息的安全性。其物理安全可以分为两个方面:一是人为对网络的损害;二是网络对使用者的危害。最常见的是施工人员由于对地下电缆不了解,从而造成电缆的破坏,这种情况可通过立标志牌加以防范;未采用结构化布线的网络经常会出现使用者对电缆的损坏,这就需要尽量采用结构化布线来安装网络;人为或自然灾害的影响,需在规划设计时加以考虑;网络对使用者的危害主要是电缆的电击、高频信号的幅射等,这需要对网络的绝缘、接地和屏蔽工作做好。网络安全策略的实现流程涉及到以下几个主要方面,如图31所示。图31 网络安全策略的实现流程目前
34、广泛运用和比较成熟的网络安全技术主要有:防火墙技术、数据加密与用户授权访问控制技术、入侵检测技术、防病毒技术等,以下就此几项技术分别进行分析。 3.1防火墙技术3.1.1防火墙的基本概念和作用防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它执行预先制定的访问控制策略,决定了网络外部与网络内部的访问方式。在网络中,防火墙实际是一种隔离技术,它所执行的隔离措施有:拒绝未经授权的用户访问内部网和存取敏感数据;允许合法用户不受妨碍地访问网络资源。1作为网络安全的屏障。一个防火墙作为阻塞节点和控制节点能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险,只有经过精心选择的应用
35、协议才能通过防火墙,所以网络环境变得更安全。2可以强化网络安全策略。通过以防火墙为中心的安全方案配置,能将所有的安全软件配置在防火墙上,体现集中安全管理更经济。3对网络存取和访问进行检测审计。如果所有的访问都经过防火墙,那么防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据,当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。4防止内部信息的外泄。通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。5协议的支持。支持具有因特网服务性的企业内部网络技术体系VPN。3.1.2防火
36、墙的分类根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型、网络地址转换NAT、代理型和监测型。包过滤防火墙 包过滤防火墙的优点:对于一个小型的、不太复杂的站点,包过滤比较容易实现;因为过滤路由器工作在IP层和TCP层,所以处理包的速度比代理服务器快;过滤路由器为用户提供了一种透明的服务,用户不需要改变客户端的任何应用程序,也不需要用户学习任何新的东西。因为过滤路由器工作在IP层和TCP层,而IP层和TCP层与应用层的问题毫不相关。所以过滤路由器有时也被称为“包过滤网关”或“透明网关”,之所以被称为网关,是因为包过滤路由器和传统路由器不同,它涉及到了传输层;过滤路由器在价格上一
37、般比代理服务器便宜。包过滤防火墙的缺点:一些包过滤网关不支持有效的用户认证;规则表很快会变得很大而且复杂,规则很难测试。随着表的增大和复杂性的增加,规则结构出现漏洞的可能性也会增加;这种防火墙最大的缺陷是它依赖一个单一的部件来保护系统。如果这个部件出现了问题,会使得网络大门敞开,而用户其至可能还不知道;在一般情况下,如果外部用户被允许访问内部主机,则它就可以访问内部网上的任何主机;包过滤防火墙只能阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机伪装外部主机的IP欺骗却不可能阻止,而且它不能防止DNS欺骗。状态/动态检测防火墙 状态/动态检测防火墙的优点有检查IP包的每个字段的
38、能力,并遵从基于包中信息的过滤规则;识别带有欺骗性源IP地址包的能力;包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的;基于应用程序信息验证一个包的状态的能力,例如基于一个已经建立的FTP连接,允许返回的FTP包通过;基于应用程序信息验证一个包状态的能力,例如允许一个先前认证过的连接继续与被授予的服务通信;记录有关通过的每个包的详细信息的能力。基本上防火墙用来确定包状态的所有信息都可以被记录,包括应用程序对包的请求,连接的持续时间,内部和外部系统所做的连接请求等。状态/动态检测防火墙的缺点:状态/动态检测防火墙唯一的缺点就是所有这些记录、测试和分析工作可能会
39、造成网络连接的某种迟滞,特别是在同时有许多连接激活的时候,或者是有大量的过滤网络通信的规则存在时。可是硬件速度越快,这个问题就越不易察觉,而且防火墙的制造商一直致力于提高他们产品的速度。应用程序代理防火墙 应用程序代理防火墙的优点:指定对连接的控制,例如允许或拒绝基于服务器IP地址的访问,或者是允许或拒绝基于用户所请求连接的IP地址的访问;通过限制某些协议的传出请求,来减少网络中不必要的服务;大多数代理防火墙能够记录所有的连接,包括地址和持续时间。这些信息对追踪攻击和发生的未授权访问的事件事很有用的。 应用程序代理防火墙的缺点有:必须在一定范围内定制用户的系统,这取决于所用的应用程序;一些应用
40、程序可能根本不支持代理连接。NAT NAT的优点:所有内部的IP地址对外面的人来说是隐蔽的。因为这个原因,网络之外没有人可以通过指定IP地址的方式直接对网络内的任何一台特定的计算机发起攻击;如果因为某种原因公共IP地址资源比较短缺的话,NAT可以使整个内部网络共享一个IP地址;可以启用基本的包过滤防火墙安全机制,因为所有传入的包如果没有专门指定配置到NAT,那么就会被丢弃。内部网络的计算机就不可能直接访问外部网络。 NAT的缺点:NAT的缺点和包过滤防火墙的缺点是一样的。虽然可以保障内部网络的安全,但它也是一些类似的局限。而且内网可以利用现流传比较广泛的木马程序可以通过NAT做外部连接,就像它
41、可以穿过包过滤防火墙一样的容易。 个人防火墙 个人防火墙的优点:增加了保护级别,不需要额外的硬件资源;个人防火墙除了可以抵挡外来攻击的同时,还可以抵挡内部的攻击;个人防火墙是对公共网络中的单个系统提供了保护。例如一个家庭用户使用的是Modem或ISDN/ADSL上网,可能一个硬件防火墙对于他来说实在是太昂贵了,或者说是太麻烦了。而个人防火墙已经能够为用户隐蔽暴露在网络上的信息,比如IP地址之类的信息等。 个人防火墙的缺点:个人防火墙主要的缺点就是对公共网络只有一个物理接口。要记住,真正的防火墙应当监视并控制两个或更多的网络接口之间的通信。这样一来的话,个人防火墙本身可能会容易受到威胁,或者说是
42、具有这样一个弱点,网络通信可以绕过防火墙的规则。3.1.3防火墙的工作原理从防火墙的作用可以看出,防火墙必须具备两个要求:保障内部网安全和保障内部网和外部网的联通。因此在逻辑上防火墙是一个分离器、限制器、分析器。有效地监控了内部网和外部网的任何活动,保证了内部网络的安全,其一般逻辑位置如图32所示。图32 防火墙的逻辑位置防火墙根据功能实现在TCP/IP网络模型中的层次,其实现原理可以分为三类:在网络层实现防火墙功能为分组过滤技术;在应用层实现防火墙功能为代理服务技术;在网络层,IP层,应用层三层实现防火墙为状态检测技术。3.1.4防火墙的使用心得对于日益严重的网络安全问题,防火墙几乎成为所有
43、企业网络和个人用户不可或缺的安全设备。选购一款适合企业或者用户使用的防火墙是最先需要考虑的问题,用户需要对防火墙的功能、特点以及价格等方面进行衡量和对比,从而选择一款性价比可以满足自己的产品。而之后如果对防火墙进行正确配置和操作都有所掌握,虽然不可避免地受到过恶意插件和病毒的攻击,但是当计算机连接到internet的时候,基本能够确保计算机的安全性,发现病毒木马等攻击时,能够及时的发现并把病毒和木马清除。对此本人总结了使用防火墙时需要注意的事项和心得:1防火墙就像计算机的防护盾。如果没有能力购买硬件防火墙的话,那么也必须为自己配置一款适合的软件防火墙来保护你的计算机和系统安全,防火墙的作用就如
44、同守护网络安全的坚实的一个防护盾。防火墙不是越多越好,一般不可安装两个以上的软件防火墙。本人曾经试过在计算机上同时安装两个防火墙,结果导致软件冲突,或者出现电脑蓝屏等现象,更严重的可能导致系统的崩溃,最后不得不重装系统才能解决。了解防火墙占用计算机资源的情况。选用一款防火墙之前,要对防火墙的性能及安装环境先有大致的了解,判断自己的计算机配置是否能够负担起防火墙的资源消耗,主要可以从计算机的CPU、内存、硬件方面进行判断考虑。建议安装节省系统资源的软件防火墙。例如瑞星防火墙一般比较占用系统资源,安装之后开机速度会有所拖慢,占用CPU使用率也是比较高的。选择高效率的软件防火墙十分重要。曾经受到恶意
45、的病毒攻击,此时通过系统的数据包很多,防火墙处理速度不够快,从而严重影响了系统的效率,严重时会出现死机。当遇到这样的情况,用户即可考虑使用信的软件防火墙来保护自己的计算机系统。防火墙的易用性很重要。有一些防火墙虽然性能较其他产品好,但是对于一般用户来说,配置及操作过于复杂,在设置过程中也容易出错,导致问题的出现。因此建议用户选用使用简单方便的防火墙产品。安装杀毒软件配合防火墙。防火墙并不是万能的,从字义上面理解防火墙就如同一道墙,它主要的功能是阻止外部网络数据包等信息的通过,但是防火墙并不能保证把所有不安全的信息都进行拦截,当不安全的信息进入内部网络时,有些防火墙将不再发挥作用,此时就需要安装
46、一款杀毒软件配合防火墙的工作,将病毒木马等非法数据包清除。为了更好地使用防火墙,我从反面列举3个有代表性的失败案例:例1:未考虑防火墙的可扩充性 问题描述:某大型企业一年前购买了几十台防火墙,分布在总部局域网和全国各地的分支机构中。刚投入使用后,各部门和分支机构都反映不错,没有影响到网络性能。随着信息化程度的不断提高,该企业决定构建视频会议系统,却发现防火墙不支持该应用协议,如果要实现视频会议,必须让防火墙打开一个很大的缺口,这会留下很大的安全隐患。 问题分析:视频会议系统一般都采用h.323协议,在创建符合h.323协议的voice-over-ip通道时,需要用到tcp协议的1720、173
47、1和1735等端口,并且会使用到tcp协议的、大于1024的端口及udp协议的、大于30000的端口,这些端口是动态随机选取的。如果防火墙没有专门针对h.323协议实现动态包过滤,那么必须静态地配置安全规则,打开tcp协议1024到65535之间的所有端口以及udp协议30000到65535之间的所有端口,这样等于给防火墙打开了一个缺口,留下了安全隐患。此外,视频会议系统对于网络的服务质量和语音传输的优先级要求很高,如果防火墙不支持qos功能,就无法保证参加视频会议的主机的的语音和视频质量。本案例说明了企业在选购防火墙时没有充分考虑到今后网络的扩展性,导致防火墙不能适应新的应用环境。 解决办法:购买防火墙前应充分考虑到各种应用的可能性。如果问题已经发生,请求防火墙厂商或安全集成商帮助解决。 结论和忠告:“安全当头,应用为先”。如果不支持诸如视频等网络应用,再好的安全设施也是没有意义的。请关注防火墙的功能是否全面,是否全面兼容各种应用协议。 例2:未考虑与其他安全产品的配合使用 问题描述:某公司购买了防火墙后,紧接着又购买了漏洞扫描和ids(入侵检测系统)产品。当系统管理员利用ids发现入侵行为后,
