防火墻技術(shù)分析與研究畢業(yè)論文.doc
《防火墻技術(shù)分析與研究畢業(yè)論文.doc》由會(huì)員分享,可在線閱讀,更多相關(guān)《防火墻技術(shù)分析與研究畢業(yè)論文.doc(13頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1、山東廣播電視大學(xué)畢業(yè)論文(設(shè)計(jì))評(píng)審表 題 目_ 防火墻技術(shù)分析與研究 _ _姓 名 _ _ 教育層次 _專科_學(xué) 號(hào) _1137001401533_ 省級(jí)電大 _專 業(yè) _ 計(jì)算機(jī)信息管理_ 市級(jí)電大 _指導(dǎo)教師 _ 教 學(xué) 點(diǎn) _防火墻技術(shù)分析與研究目 錄摘要1綜 述1一、防火墻的概述2(一)防火墻的概述2(二) 防火墻的背景與發(fā)展2(三) 防火墻的種類與類型21.數(shù)據(jù)包過(guò)濾型防火墻22.應(yīng)用級(jí)網(wǎng)關(guān)型防火墻33.代理服務(wù)型防火墻34.復(fù)合型防火墻4(四) 防火墻的功能41.訪問(wèn)控制42.防御功能53.管理功能54.記錄和報(bào)表功能5二、 網(wǎng)絡(luò)安全6(一) 網(wǎng)絡(luò)安全問(wèn)題61.網(wǎng)絡(luò)安全面臨的主要
2、威脅62.影響網(wǎng)絡(luò)安全的因素6(二)網(wǎng)絡(luò)安全措施71.完善計(jì)算機(jī)安全立法72.網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)73.制定合理的網(wǎng)絡(luò)管理措施8三、防火墻技術(shù)的發(fā)展趨勢(shì)8(一) 防火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì)8(二)防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)8(三)防火墻的系統(tǒng)管理發(fā)展趨勢(shì)9結(jié)束語(yǔ)9參考文獻(xiàn):10防火墻技術(shù)分析與研究摘要防火墻是目前網(wǎng)絡(luò)安全領(lǐng)域廣泛使用的設(shè)備,其主要目的就是限制非法流量,以保護(hù)內(nèi)部子網(wǎng)。從部署位置來(lái)看,防火墻往往位于網(wǎng)絡(luò)出口,是內(nèi)部網(wǎng)和外部網(wǎng)之間的唯一通道,因此提高防火墻的性能、避免其成為瓶頸,就成為防火墻產(chǎn)品能否成功的一個(gè)關(guān)鍵問(wèn)題。防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類型,但總體來(lái)講可
3、分為包過(guò)濾、應(yīng)用級(jí)網(wǎng)關(guān)和代理服務(wù)器等幾大類型。本文的重點(diǎn)是介紹了防火墻的類型與主要功能,通過(guò)防火墻的數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)分析,并根據(jù)統(tǒng)計(jì)數(shù)據(jù)動(dòng)態(tài)調(diào)整過(guò)濾規(guī)則的相對(duì)次序,使得使用最頻繁的規(guī)則位于規(guī)則列表的最前面,使其和當(dāng)前網(wǎng)絡(luò)流量特性相一致,從而達(dá)到降低后繼數(shù)據(jù)包規(guī)則匹配時(shí)間來(lái)提高防火墻性能之目的。 關(guān)鍵詞:計(jì)算機(jī) 防火墻 Internet 安全 技術(shù)特征綜 述防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù),越來(lái)越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互連環(huán)境之中,尤以Internet網(wǎng)絡(luò)為最甚。Internet的迅猛發(fā)展,使得防火墻產(chǎn)品在短短的幾年內(nèi)異軍突起,很快形成了一個(gè)產(chǎn)業(yè)。防火
4、墻是一種網(wǎng)絡(luò)技術(shù),最初它被定為一個(gè)實(shí)施某些安全策略保護(hù)一個(gè)可信網(wǎng)絡(luò),用以防止來(lái)自一個(gè)不可信的網(wǎng)絡(luò)(如Internet)的攻擊的裝置。防火墻就是一個(gè)或多組網(wǎng)絡(luò)設(shè)備,可用來(lái)在兩個(gè)或多個(gè)網(wǎng)絡(luò)間加強(qiáng)訪問(wèn)控制。它的實(shí)現(xiàn)有好多種方式,有的實(shí)現(xiàn)還是很復(fù)雜的,但基本原理卻很簡(jiǎn)單。可以把它想象成一個(gè)開(kāi)關(guān),一個(gè)是用來(lái)阻止輸入,另一個(gè)用來(lái)允許輸入。防火墻可以設(shè)置在不同的網(wǎng)絡(luò)之間(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全策略控制(允許、拒絕、檢測(cè))出入網(wǎng)絡(luò)的信息流,且本身也具有較強(qiáng)的攻擊能力。它是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)
5、施。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,它有效的監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安全。一、防火墻的概述(一)防火墻的概述人們常在寓所之間砌起一道磚墻,一旦火災(zāi)發(fā)生,它能夠防止火勢(shì)蔓延到別的寓所。在網(wǎng)絡(luò)上,如果一個(gè)網(wǎng)絡(luò)接到了Internet上面,它的用戶就可以訪問(wèn)外部世界并與之通信。但同時(shí),外部世界也同樣可以訪問(wèn)該網(wǎng)絡(luò)并與之交互。為安全起見(jiàn),可以在該網(wǎng)絡(luò)和Internet之間插入一個(gè)中介系統(tǒng),豎起一道安全屏障。這道屏障的作用是阻斷來(lái)自外部通過(guò)網(wǎng)絡(luò)對(duì)本網(wǎng)絡(luò)的威脅和入侵,提供扼守本網(wǎng)絡(luò)的安全和審計(jì)的唯一關(guān)卡,它的作用與建筑的防火磚墻有類似之處,因此
6、我們把這個(gè)屏障就叫做“防火墻”。防火墻就是一個(gè)位于電腦和它所連接的網(wǎng)絡(luò)之間的軟件。該電腦流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過(guò)此防火墻。防火墻是一個(gè)或一組系統(tǒng),它在網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略。實(shí)現(xiàn)防火墻的實(shí)際方式各不相同,但是在原則上,防火墻可以被認(rèn)為是這樣一對(duì)機(jī)制:一種機(jī)制是攔阻傳輸流通行,另一種機(jī)制是允許傳輸流通過(guò)。一些防火墻偏重?cái)r阻傳輸流的通行,而另一些防火墻則偏重允許傳輸流通過(guò)。(2) 防火墻的背景與發(fā)展第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn),采用了包過(guò)濾(Packet filter)技術(shù)。第二、三代防火墻是在1989年,貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey推出了第
7、二代防火墻,即電路層防火墻,同時(shí)提出了第三代防火墻,應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。 第四代防火墻是在1992年,由USC信息科學(xué)院的BobBraden開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾(Dynamic packet filter)技術(shù)的第四代防火墻,后來(lái)演變?yōu)槟壳八f(shuō)的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。1994年,以色列的CheckPoint公司開(kāi)發(fā)出了第一個(gè)采用這種技術(shù)的商業(yè)化的產(chǎn)品。第五代防火墻在1998年,是NAI公司推出了一種自適應(yīng)代理(Adaptive proxy)技術(shù),并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現(xiàn),給代理類型的防火墻賦予了全
8、新的意義,可以稱之為第五代防火墻。(3) 防火墻的種類與類型防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類型,但總體來(lái)講可分為包過(guò)濾、應(yīng)用級(jí)網(wǎng)關(guān)和代理服務(wù)器等幾大類型。 1.數(shù)據(jù)包過(guò)濾型防火墻 數(shù)據(jù)包過(guò)濾(Packet Filtering)技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇,選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯,被稱為訪問(wèn)控制表(Access Control Table)。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素,或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。數(shù)據(jù)包過(guò)濾防火墻邏輯簡(jiǎn)單,價(jià)格便宜,易于安裝和使用,網(wǎng)絡(luò)性能和透明性好,它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)
9、絡(luò)與Internet連接必不可少的設(shè)備,因此在原有網(wǎng)絡(luò)上增加這樣的防火墻幾乎不需要任何額外的費(fèi)用。數(shù)據(jù)包過(guò)濾防火墻的優(yōu)點(diǎn):不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序,因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層,與應(yīng)用層無(wú)關(guān)。數(shù)據(jù)包過(guò)濾防火墻的缺點(diǎn):一是非法訪問(wèn)一旦突破防火墻,即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊;二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部,很有可能被竊聽(tīng)或假冒。據(jù)以過(guò)濾判別的只有網(wǎng)絡(luò)層和傳輸層的有限信息,因而各種安全要求不可能充分滿足;在許多過(guò)濾器中,過(guò)濾規(guī)則的數(shù)目是有限制的,且隨著規(guī)則數(shù)目的增加,性能會(huì)受到很大地影響;由于缺少上下文關(guān)聯(lián)信息,不能有效地過(guò)濾如UDP、RPC一類的協(xié)議;
10、另外,大多數(shù)過(guò)濾器中缺少審計(jì)和報(bào)警機(jī)制,且管理方式和用戶界面較差;對(duì)安全管理人員素質(zhì)要求高,建立安全規(guī)則時(shí),必須對(duì)協(xié)議本身及其在不同應(yīng)用程序中的作用有較深入的理解。因此,過(guò)濾器通常是和應(yīng)用網(wǎng)關(guān)配合使用,共同組成防火墻系統(tǒng)。 2.應(yīng)用級(jí)網(wǎng)關(guān)型防火墻應(yīng)用級(jí)網(wǎng)關(guān)(Application Level Gateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過(guò)濾邏輯,并在過(guò)濾的同時(shí),對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì),形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。 數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的特點(diǎn),就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包
11、通過(guò)。一旦滿足邏輯,則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系,防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài),這有利于實(shí)施非法訪問(wèn)和攻擊。 3.代理服務(wù)型防火墻代理服務(wù)(Proxy Service)也稱鏈路級(jí)網(wǎng)關(guān)或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。它是針對(duì)數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù),其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”,由兩個(gè)終止代理服務(wù)器上的“鏈接”來(lái)實(shí)現(xiàn),外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器,從而起到了隔離防火墻內(nèi)外
12、計(jì)算機(jī)系統(tǒng)的作用。代理服務(wù)也對(duì)過(guò)往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記,形成報(bào)告,同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào),并保留攻擊痕跡。應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn),起著監(jiān)視和隔絕應(yīng)用層通信流的作用。同時(shí)也常結(jié)合入過(guò)濾器的功能。它工作在OSI模型的最高層,掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息。 4.復(fù)合型防火墻由于對(duì)更高安全性的要求,常把基于包過(guò)濾的方法與基于應(yīng)用代理的方法結(jié)合起來(lái),形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機(jī)防火墻體系結(jié)構(gòu):在該結(jié)構(gòu)中,分組過(guò)濾路由器或防火墻與Internet相連,同時(shí)一個(gè)堡壘機(jī)安裝在內(nèi)部網(wǎng)絡(luò),通過(guò)在分組過(guò)濾路由器或防火墻上過(guò)濾規(guī)則
13、的設(shè)置,使堡壘機(jī)成為Internet上其它節(jié)點(diǎn)所能到達(dá)的唯一節(jié)點(diǎn),這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。屏蔽子網(wǎng)防火墻體系結(jié)構(gòu):堡壘機(jī)放在一個(gè)子網(wǎng)內(nèi),形成非軍事化區(qū),兩個(gè)分組過(guò)濾路由器放在這一子網(wǎng)的兩端,使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡(luò)分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中,堡壘主機(jī)和分組過(guò)濾路由器共同構(gòu)成了整個(gè)防火墻的安全基礎(chǔ)。(4) 防火墻的功能防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標(biāo)電腦。可以將防火墻配置成許多不同保護(hù)級(jí)別。防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描,這樣能夠過(guò)濾掉一些攻擊,以免其在目標(biāo)電腦上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止
14、特定端口的流出通信。最后,它可以禁止來(lái)自特殊站點(diǎn)的訪問(wèn),從而防止來(lái)自不明入侵者的所有通信。 1.訪問(wèn)控制功能通過(guò)防火墻的包內(nèi)容設(shè)置:包過(guò)濾防火墻的過(guò)濾規(guī)則集由若干條規(guī)則組成,它應(yīng)涵蓋對(duì)所有出入防火墻的數(shù)據(jù)包的處理方法,對(duì)于沒(méi)有明確定義的數(shù)據(jù)包,應(yīng)該有一個(gè)缺省處理方法;過(guò)濾規(guī)則應(yīng)易于理解,易于編輯修改;同時(shí)應(yīng)具備一致性檢測(cè)機(jī)制,防止沖突。IP包過(guò)濾的依據(jù)主要是根據(jù)IP包頭部信息如源地址和目的地址進(jìn)行過(guò)濾,如果IP頭中的協(xié)議字段表明封裝協(xié)議為ICMP、TCP或UDP,那么再根據(jù)ICMP頭信息(類型和代碼值)、TCP頭信息(源端口和目的端口)或UDP頭信息(源端口和目的端口)執(zhí)行過(guò)濾,其他的還有MA
15、C地址過(guò)濾。應(yīng)用層協(xié)議過(guò)濾要求主要包括FTP過(guò)濾、基于RPC的應(yīng)用服務(wù)過(guò)濾、基于UDP的應(yīng)用服務(wù)過(guò)濾要求以及動(dòng)態(tài)包過(guò)濾技術(shù)等。 在應(yīng)用層提供代理支持:指防火墻是否支持應(yīng)用層代理,如HTTP、FTP、TELNET、SNMP等。 在傳輸層提供代理支持:指防火墻是否支持傳輸層代理服務(wù)。允許FTP命令防止某些類型文件通過(guò)防火墻:指是否支持FTP文件類型過(guò)濾。 用戶操作的代理類型:應(yīng)用層高級(jí)代理功能,如HTTP、POP3 。 支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT):NAT指將一個(gè)IP地址域映射到另一個(gè)IP地址域,從而為終端主機(jī)提供透明路由的方法。NAT常用于私有地址域與公有地址域的轉(zhuǎn)換以解決IP地址匱乏問(wèn)題。 支持
16、硬件口令、智能卡: 是否支持硬件口令、智能卡等,這是一種比較安全的身份認(rèn)證技術(shù)。 2.防御功能支持病毒掃描: 是否支持防病毒功能,如掃描電子郵件附件中的DOC和ZIP文件,F(xiàn)TP中的下載或上載文件內(nèi)容,以發(fā)現(xiàn)其中包含的危險(xiǎn)信息。 提供內(nèi)容過(guò)濾: 是否支持內(nèi)容過(guò)濾,信息內(nèi)容過(guò)濾指防火墻在HTTP、FTP、SMTP等協(xié)議層,根據(jù)過(guò)濾條件,對(duì)信息流進(jìn)行控制。防火墻控制的結(jié)果是:允許通過(guò)、修改后允許通過(guò)、禁止通過(guò)、記錄日志、報(bào)警等。 過(guò)濾內(nèi)容主要指URL、HTTP攜帶的信息:Java Applet、 JavaScript、ActiveX和電子郵件中的Subject、To、From域等。 能防御的DoS
17、攻擊類型:拒絕服務(wù)攻擊(DoS)就是攻擊者過(guò)多地占用共享資源,導(dǎo)致服務(wù)器超載或系統(tǒng)資源耗盡,而使其他用戶無(wú)法享有服務(wù)或沒(méi)有資源可用。防火墻通過(guò)控制、檢測(cè)與報(bào)警等機(jī)制,可在一定程度上防止或減輕DoS黑客攻擊。 阻止ActiveX、Java、Cookies、Javascript侵入:屬于HTTP內(nèi)容過(guò)濾,防火墻應(yīng)該能夠從HTTP頁(yè)面剝離Java Applet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測(cè)出危險(xiǎn)代碼或病毒,并向?yàn)g覽器用戶報(bào)警。同時(shí),能夠過(guò)濾用戶上載的CGI、ASP等程序,當(dāng)發(fā)現(xiàn)危險(xiǎn)代碼時(shí),向服務(wù)器報(bào)警。 3.管理功能通過(guò)集成策略集中管理多個(gè)防火墻:是否支持集中管理
18、,防火墻管理是指對(duì)防火墻具有管理權(quán)限的管理員行為和防火墻運(yùn)行狀態(tài)的管理,管理員的行為主要包括:通過(guò)防火墻的身份鑒別,編寫(xiě)防火墻的安全規(guī)則,配置防火墻的安全參數(shù),查看防火墻的日志等。防火墻的管理一般分為本地管理、遠(yuǎn)程管理和集中管理等。本地管理:是指管理員通過(guò)防火墻的Console口或防火墻提供的鍵盤(pán)和顯示器對(duì)防火墻進(jìn)行配置管理。 遠(yuǎn)程管理:是指管理員通過(guò)以太網(wǎng)或防火墻提供的廣域網(wǎng)接口對(duì)防火墻進(jìn)行管理,管理的通信協(xié)議可以基于FTP、TELNET、HTTP等。 支持帶寬管理:防火墻能夠根據(jù)當(dāng)前的流量動(dòng)態(tài)調(diào)整某些客戶端占用的帶寬。 4.記錄和報(bào)表功能 防火墻處理完整日志的方法:防火墻規(guī)定了對(duì)于符合條件
19、的報(bào)文做日志,應(yīng)該提供日志信息管理和存儲(chǔ)方法。 提供自動(dòng)日志掃描:指防火墻是否具有日志的自動(dòng)分析和掃描功能,這可以獲得更詳細(xì)的統(tǒng)計(jì)結(jié)果,達(dá)到事后分析、亡羊補(bǔ)牢的目的。提供自動(dòng)報(bào)表,日志報(bào)告書(shū)寫(xiě)器:防火墻實(shí)現(xiàn)的一種輸出方式,提供自動(dòng)報(bào)表和日志報(bào)告功能。 警告通知機(jī)制:防火墻應(yīng)提供告警機(jī)制,在檢測(cè)到入侵網(wǎng)絡(luò)以及設(shè)備運(yùn)轉(zhuǎn)異常情況時(shí),通過(guò)告警來(lái)通知管理員采取必要的措施,包括E-mail、呼機(jī)、手機(jī)等。 提供簡(jiǎn)要報(bào)表(按照用戶ID或IP 地址):防火墻實(shí)現(xiàn)的一種輸出方式,按要求提供報(bào)表分類打印。 提供實(shí)時(shí)統(tǒng)計(jì):防火墻實(shí)現(xiàn)的一種輸出方式,日志分析后所獲得的智能統(tǒng)計(jì)結(jié)果,一般是圖表顯示。2、 網(wǎng)絡(luò)安全(1)
20、 網(wǎng)絡(luò)安全問(wèn)題 安全,通常是指只有被授權(quán)的人才能使用其相應(yīng)資源的一種機(jī)制。我國(guó)對(duì)于計(jì)算機(jī)安全的定義是:“計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù),不因偶然的或惡意的原因而遭到破壞、更改、顯露,系統(tǒng)能連續(xù)正常運(yùn)行?!?1.網(wǎng)絡(luò)安全面臨的主要威脅 一般認(rèn)為,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來(lái)自計(jì)算機(jī)病毒、黑客的攻擊和拒絕服務(wù)攻擊三個(gè)方面。 1)計(jì)算機(jī)病毒的侵襲。當(dāng)前,活性病毒達(dá)14000多種,計(jì)算機(jī)病毒侵入網(wǎng)絡(luò),對(duì)網(wǎng)絡(luò)資源進(jìn)行破壞,使網(wǎng)絡(luò)不能正常工作,甚至造成整個(gè)網(wǎng)絡(luò)的癱瘓。 2)黑客侵襲。即黑客非法進(jìn)入網(wǎng)絡(luò)非法使用網(wǎng)絡(luò)資源。例如通過(guò)隱蔽通道進(jìn)行非法活動(dòng);采用匿名用戶訪問(wèn)進(jìn)行攻擊;通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)獲取網(wǎng)上用戶
21、賬號(hào)和密碼;非法獲取網(wǎng)上傳輸?shù)臄?shù)據(jù);突破防火墻等。 3)拒絕服務(wù)攻擊。例如“點(diǎn)在郵件炸彈”,它的表現(xiàn)形式是用戶在很短的時(shí)間內(nèi)收到大量無(wú)用的電子郵件,從而影響正常業(yè)務(wù)的運(yùn)行。嚴(yán)重時(shí)會(huì)使系統(tǒng)關(guān)機(jī),網(wǎng)絡(luò)癱瘓。 具體講,網(wǎng)絡(luò)系統(tǒng)面臨的安全威脅主要有如下表現(xiàn):身份竊取、非授權(quán)訪問(wèn)、數(shù)據(jù)竊取、拒絕服務(wù)、病毒與惡意攻擊、冒充合法用戶等。2.影響網(wǎng)絡(luò)安全的因素從技術(shù)講,計(jì)算機(jī)安全分為3種: (1)實(shí)體的安全。它保證硬件和軟件本身的安全。 (2)運(yùn)行環(huán)境的安全性。它保證計(jì)算機(jī)能在良好的環(huán)境里持續(xù)工作。 (3)信息的安全性。它保障信息不會(huì)被非法閱讀、修改和泄漏。 隨著網(wǎng)絡(luò)的發(fā)展,計(jì)算機(jī)的安全問(wèn)題也延伸到了計(jì)算機(jī)網(wǎng)
22、絡(luò)。 1.單機(jī)安全購(gòu)買(mǎi)單機(jī)時(shí),型號(hào)的選擇;計(jì)算機(jī)的運(yùn)行環(huán)境(電壓、濕度、防塵條件、強(qiáng)電磁場(chǎng)以及自然災(zāi)害等);計(jì)算機(jī)的操作等,這些都是影響單機(jī)安全性的因素。 3.網(wǎng)絡(luò)安全 影響網(wǎng)絡(luò)安全的因素有:節(jié)點(diǎn)的安全、數(shù)據(jù)的安全(保存和傳輸方面)、文件的安全等。(二)網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)信息安全涉及方方面面的問(wèn)題,是一個(gè)復(fù)雜的系統(tǒng)。一個(gè)完整的網(wǎng)絡(luò)信息安全體系至少應(yīng)包括三類措施:一是法律政策、規(guī)章制度以及安全教育等外部軟環(huán)境。二是技術(shù)方面,如信息加密存儲(chǔ)傳輸、身份認(rèn)證、防火墻技術(shù)、網(wǎng)絡(luò)防毒等。三是管理措施,包括技術(shù)與社會(huì)措施。主要措施有:提供實(shí)時(shí)改變安全策略的能力、實(shí)時(shí)監(jiān)控企業(yè)安全狀態(tài)、對(duì)現(xiàn)有的安全系統(tǒng)實(shí)施漏洞檢
23、查等,以防患于未然。這三者缺一不可,其中,法律政策是安全的基石,技術(shù)是安全的保障,管理和審計(jì)是安全的防線。1.完善計(jì)算機(jī)安全立法 我國(guó)先后出臺(tái)的有關(guān)網(wǎng)絡(luò)安全管理的規(guī)定和條例。但目前,在這方面的立法還遠(yuǎn)不能適應(yīng)形勢(shì)發(fā)展的需要,應(yīng)該在對(duì)控制計(jì)算機(jī)犯罪的國(guó)內(nèi)外立法評(píng)價(jià)的基礎(chǔ)上,完善我國(guó)計(jì)算機(jī)犯罪立法,以便為確保我國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)健康有序的發(fā)展提供強(qiáng)有力的保障。2.網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)(1)數(shù)據(jù)加密 加密就是把明文變成密文,從而使未被授權(quán)的人看不懂它。有兩種主要的加密類型:私匙加密和公匙加密。(2)認(rèn)證 對(duì)合法用戶進(jìn)行認(rèn)證可以防止非法用戶獲得對(duì)公司信息系統(tǒng)的訪問(wèn),使用認(rèn)證機(jī)制還可以防止合法用戶訪問(wèn)他們無(wú)
24、權(quán)查看的信息。(3)防火墻技術(shù) 防火墻就是用來(lái)阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡(luò)屏障,其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問(wèn)。 目前,防火墻采取的技術(shù),主要是包過(guò)濾應(yīng)用網(wǎng)關(guān)、子網(wǎng)屏蔽等。但是,防火墻技術(shù)在網(wǎng)絡(luò)安全防護(hù)方面也存在一些不足,防火墻不能防止內(nèi)部攻擊防火墻不能取代殺毒軟件,防火墻不易防止反彈端口木馬攻擊等。 (4)檢測(cè)系統(tǒng)入侵檢測(cè)技術(shù)是網(wǎng)絡(luò)安全研究的一個(gè)熱點(diǎn),是一種積極主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部入侵、外部入侵和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截相應(yīng)入侵。隨著時(shí)代的發(fā)展,入侵檢測(cè)技術(shù)將朝著三個(gè)方向發(fā)展:分布式入侵檢測(cè)、智能化入侵檢測(cè)和全面的安全防御方案。 (5)防病毒技術(shù)
25、 隨著計(jì)算機(jī)技術(shù)的發(fā)展,計(jì)算機(jī)病毒變得越來(lái)越復(fù)雜和高級(jí),計(jì)算機(jī)病毒防范不僅僅是一個(gè)產(chǎn)品、一個(gè)策略或一個(gè)制度,它是一個(gè)匯集了硬件、軟件、網(wǎng)絡(luò)、以及它們之間相互關(guān)系和接口的綜合系統(tǒng)。3.制定合理的網(wǎng)絡(luò)管理措施(1)加強(qiáng)網(wǎng)絡(luò)用戶及有關(guān)人員的安全意識(shí)、職業(yè)道德和事業(yè)心、責(zé)任心的培養(yǎng)教育以及相關(guān)技術(shù)培訓(xùn)。(2)建立完善的安全管理體制和制度,以起到對(duì)管理人員和操作人員鼓勵(lì)和監(jiān)督的作用。(3)管理措施要標(biāo)準(zhǔn)化、規(guī)范化和科學(xué)化。三、防火墻技術(shù)的發(fā)展趨勢(shì) 防火墻未來(lái)的技術(shù)發(fā)展趨勢(shì)隨著新的網(wǎng)絡(luò)攻擊的出現(xiàn),防火墻技術(shù)也有一些新的發(fā)展趨勢(shì)。這主要可以從包過(guò)濾技術(shù)、防火墻體系結(jié)構(gòu)和防火墻系統(tǒng)管理三方面來(lái)體現(xiàn)。(1) 防
26、火墻包過(guò)濾技術(shù)發(fā)展趨勢(shì) 1. 一些防火墻廠商把系統(tǒng)上運(yùn)用的用戶認(rèn)證及其服務(wù)擴(kuò)展到防火墻中,使其擁有可以支持基于用戶角色的安全策略功能。該功能在無(wú)線網(wǎng)絡(luò)應(yīng)用中非常必要。具有用戶身份驗(yàn)證的防火墻通常是采用應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)的,而包過(guò)濾技術(shù)的防火墻不具有。 2.多級(jí)過(guò)濾技術(shù)是防火墻采用多級(jí)過(guò)濾措施,并輔以鑒別手段。在分組過(guò)濾(網(wǎng)絡(luò)層)一級(jí),過(guò)濾掉所有的源路由分組和假冒的IP源地址;在傳輸層一級(jí),遵循過(guò)濾規(guī)則,過(guò)濾掉所有禁止出或入的協(xié)議和有害數(shù)據(jù)包;在應(yīng)用網(wǎng)關(guān)(應(yīng)用層)一級(jí),利用FTP、SMTP等各種網(wǎng)關(guān),控制和監(jiān)測(cè)Internet提供的所用通用服務(wù)。這是針對(duì)以上各種已有防火墻技術(shù)的不足而產(chǎn)生的一種綜合型
27、過(guò)濾技術(shù),它可以彌補(bǔ)以上各種單獨(dú)過(guò)濾技術(shù)的不足。 3.使防火墻具有病毒防護(hù)功能?,F(xiàn)在通常被稱之為“病毒防火墻”,當(dāng)然目前主要還是在個(gè)人防火墻中體現(xiàn),因?yàn)樗羌冘浖问?,更容易?shí)現(xiàn)。這種防火墻技術(shù)可以有效地防止病毒在網(wǎng)絡(luò)中的傳播,比等待攻擊的發(fā)生更加積極。(二)防火墻的體系結(jié)構(gòu)發(fā)展趨勢(shì)隨著網(wǎng)絡(luò)應(yīng)用的增加,對(duì)網(wǎng)絡(luò)帶寬提出了更高的要求。這意味著防火墻要能夠以非常高的速率處理數(shù)據(jù)。另外,在以后幾年里,多媒體應(yīng)用將會(huì)越來(lái)越普遍,它要求數(shù)據(jù)穿過(guò)防火墻所帶來(lái)的延遲要足夠小。為了滿足這種需要,一些防火墻制造商開(kāi)發(fā)了基于ASIC的防火墻和基于網(wǎng)絡(luò)處理器的防火墻。從執(zhí)行速度的角度看來(lái),基于網(wǎng)絡(luò)處理器的防火墻也是基
28、于軟件的解決方案,它需要在很大程度上依賴于軟件的性能,但是由于這類防火墻中有一些專門(mén)用于處理數(shù)據(jù)層面任務(wù)的引擎,從而減輕了CPU的負(fù)擔(dān),該類防火墻的性能要比傳統(tǒng)防火墻的性能好許多。與基于ASIC的純硬件防火墻相比,基于網(wǎng)絡(luò)處理器的防火墻具有軟件色彩,因而更加具有靈活性?;贏SIC的防火墻使用專門(mén)的硬件處理網(wǎng)絡(luò)數(shù)據(jù)流,比起前兩種類型的防火墻具有更好的性能。但是純硬件的ASIC防火墻缺乏可編程性,這就使得它缺乏靈活性,從而跟不上防火墻功能的快速發(fā)展。理想的解決方案是增加ASIC芯片的可編程性,使其與軟件更好地配合。這樣的防火墻就可以同時(shí)滿足來(lái)自靈活性和運(yùn)行性能的要求。(三)防火墻的系統(tǒng)管理發(fā)展趨
29、勢(shì) 防火墻的系統(tǒng)管理也有一些發(fā)展趨勢(shì),主要體現(xiàn)在以下幾個(gè)方面:(1)首先是集中式管理,分布式和分層的安全結(jié)構(gòu)是將來(lái)的趨勢(shì)。集中式管理可以降低管理成本,并保證在大型網(wǎng)絡(luò)中安全策略的一致性??焖夙憫?yīng)和快速防御也要求采用集中式管理系統(tǒng)。也就是目前所稱的“分布式防火墻”和“嵌入式防火墻”。(2)強(qiáng)大的審計(jì)功能和自動(dòng)日志分析功能。這兩點(diǎn)的應(yīng)用可以更早地發(fā)現(xiàn)潛在的威脅并預(yù)防攻擊的發(fā)生。日志功能還可以管理員有效地發(fā)現(xiàn)系統(tǒng)中存的安全漏洞,及時(shí)地調(diào)整安全策略等各方面管理具有非常大的幫助。不過(guò)具有這種功能的防火墻通常是比較高級(jí)的,早期的靜態(tài)包過(guò)濾防火墻是不具有的。(3)網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化隨著網(wǎng)絡(luò)安全技術(shù)的發(fā)展,
30、現(xiàn)在有一種提法,叫做“建立以防火墻為核心的網(wǎng)絡(luò)安全體系”。因?yàn)槲覀冊(cè)诂F(xiàn)實(shí)中發(fā)現(xiàn),僅現(xiàn)有的防火墻技術(shù)難以滿足當(dāng)前網(wǎng)絡(luò)安全需求。通過(guò)建立一個(gè)以防火墻為核心的安全體系,就可以為內(nèi)部網(wǎng)絡(luò)系統(tǒng)部署多道安全防線,各種安全技術(shù)各司其職,從各方面防御外來(lái)入侵。結(jié)束語(yǔ)隨著Internet/Intranet技術(shù)的飛速發(fā)展和應(yīng)用,網(wǎng)絡(luò)安全越來(lái)越引起人們的關(guān)注。如何保護(hù)企業(yè)和個(gè)人在網(wǎng)絡(luò)上的敏感信息不受侵犯己成為當(dāng)前擺在人們面前的一個(gè)重大問(wèn)題。防火墻技術(shù)作為目前用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全措施的一種主要手段,它主要是用來(lái)拒絕未經(jīng)授權(quán)用戶的訪問(wèn),阻止未經(jīng)授權(quán)用戶存取敏感數(shù)據(jù),同時(shí)允許合法用戶不受妨礙的訪問(wèn)網(wǎng)絡(luò)資源。如果使用得當(dāng),可以
31、在很大程度上提高網(wǎng)絡(luò)安全。算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)網(wǎng)絡(luò)安全就像矛和盾,自計(jì)算機(jī)誕生之日起就彼消此長(zhǎng)。但是沒(méi)有一種技術(shù)可以百分之百地解決網(wǎng)絡(luò)上的所有問(wèn)題,防火墻雖然能對(duì)來(lái)自外部網(wǎng)絡(luò)的攻擊進(jìn)行有效的保護(hù),但對(duì)于來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊卻無(wú)能為力。在許多人的思想中,特別是電腦的初學(xué)者,都對(duì)防火墻有一種錯(cuò)誤的認(rèn)識(shí)。即分不清什么是防火墻以及殺毒軟件,認(rèn)為殺毒軟件就可以代替防火墻,所以就掉以輕心,成了網(wǎng)絡(luò)的受害者。其實(shí)殺毒軟件和防火墻有很大的不同。即便此刻,我也只能說(shuō)對(duì)防火墻的了解只有冰山一角。在論文完成之際,我的內(nèi)心無(wú)法平靜,在謝論文的過(guò)程中對(duì)防火墻的認(rèn)識(shí)又更增進(jìn)了一步,“學(xué)無(wú)止境”這句話很值得我們?nèi)ヂw會(huì)。參考文獻(xiàn):【1】 謝希仁老師的 計(jì)算機(jī)網(wǎng)絡(luò)課件 【2】 百度文庫(kù) 防火墻的配置 【3】 中國(guó)國(guó)際招標(biāo)網(wǎng) 網(wǎng)絡(luò)防火墻(含VPN模塊) 【4】 ISA server 2000中文寶典 【5】 2012年5月 廣州羊城晚報(bào) 【6】 中國(guó)新聞網(wǎng) 浙江新聞 【7】 馬錦: 計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)人民郵電出版社 【8】 楚狂: 網(wǎng)絡(luò)安全與防火墻技術(shù) 【9】 張德蘭主編: 網(wǎng)絡(luò)安全,山東大學(xué)出版社2006年版 【10】防火墻/UTM論壇-ZOL中關(guān)村在線 中國(guó)網(wǎng)絡(luò)防火墻 學(xué)生(簽字): 指導(dǎo)教師(簽字): 年 月 日11
- 溫馨提示:
1: 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025年防凍教育安全教育班會(huì)全文PPT
- 2025年寒假安全教育班會(huì)全文PPT
- 初中2025年冬季防溺水安全教育全文PPT
- 初中臘八節(jié)2024年專題PPT
- 主播直播培訓(xùn)提升人氣的方法正確的直播方式如何留住游客
- XX地區(qū)機(jī)關(guān)工委2024年度年終黨建工作總結(jié)述職匯報(bào)
- 心肺復(fù)蘇培訓(xùn)(心臟驟停的臨床表現(xiàn)與診斷)
- 我的大學(xué)生活介紹
- XX單位2024年終專題組織生活會(huì)理論學(xué)習(xí)理論學(xué)習(xí)強(qiáng)黨性凝心聚力建新功
- 2024年XX單位個(gè)人述職述廉報(bào)告
- 一文解讀2025中央經(jīng)濟(jì)工作會(huì)議精神(使社會(huì)信心有效提振經(jīng)濟(jì)明顯回升)
- 2025職業(yè)生涯規(guī)劃報(bào)告自我評(píng)估職業(yè)探索目標(biāo)設(shè)定發(fā)展策略
- 2024年度XX縣縣委書(shū)記個(gè)人述職報(bào)告及2025年工作計(jì)劃
- 寒假計(jì)劃中學(xué)生寒假計(jì)劃安排表(規(guī)劃好寒假的每個(gè)階段)
- 中央經(jīng)濟(jì)工作會(huì)議九大看點(diǎn)學(xué)思想強(qiáng)黨性重實(shí)踐建新功